Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB17-24
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB17-24 8. elokuuta 2017 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia. Adobe määrittää päivityksille seuraavat prioriteettiluokitukset:

Tuote Versiot Ympäristö
Acrobat DC (Continuous Track) 2017.009.20058 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC (Continuous Track) 2017.009.20058 ja aiemmat versiot
Windows ja Macintosh
     
Acrobat 2017 2017.008.30051 ja aiemmat versiot Windows ja Macintosh
Acrobat Reader 2017 2017.008.30051 ja aiemmat versiot Windows ja Macintosh
     
Acrobat DC (Classic Track) 2015.006.30306 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30306 ja aiemmat versiot
Windows ja Macintosh
     
Acrobat XI 11.0.20 ja aiemmat versiot Windows ja Macintosh
Reader XI 11.0.20 ja aiemmat versiot Windows ja Macintosh

Tarkempia tietoja Acrobat DC:stä on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Tarkempia tietoja Acrobat Reader DC:stä on Acrobat Readerin usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita
noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on
    havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n
    (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC (Continuous Track) 2017.012.20098
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 Windows ja Macintosh 2 Latauskeskus
         
Acrobat 2017 2017.011.30066 Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows ja Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30355
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 
Windows ja Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows ja Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows ja Macintosh 2 Windows
Macintosh

Huomautus:

Versio 11.0.22 on saatavissa käyttäjille, joilla version 11.0.21 XFA-lomakkeiden toiminnot eivät toimi kunnolla (lisätietoja on täällä).  Sekä 11.0.22 että 11.0.21 ratkaisevat kaikki tässä tiedotteessa esitetyt tietoturvauhat. 

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numerot
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3016
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3038
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-3113
Tietojen autenttisuuden riittämätön vahvistus Tietojen paljastuminen Tärkeä CVE-2017-3115
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3116
Pinon ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-3117
Suojauksen ohitus Tietojen paljastuminen Tärkeä CVE-2017-3118
Muistin vioittuminen Koodin etäsuoritus Tärkeä CVE-2017-3119
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-3120
Pinon ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-3121
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-3122
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3123
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3124
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11209
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11210
Pinon ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-11211
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11212
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11214
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11216
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11217
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11218
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11219
Pinon ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-11220
Tyyppisekaannus Koodin etäsuoritus Kriittinen CVE-2017-11221
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11222
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11223
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11224
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11226
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11227
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11228
Suojauksen ohitus Koodin etäsuoritus Tärkeä CVE-2017-11229
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11230
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11231
Vapautuksen jälkeinen käyttö Tietojen paljastuminen Tärkeä CVE-2017-11232
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11233
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11234
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11235
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11236
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11237
Muistin vioittuminen Tietojen paljastuminen Kriittinen CVE-2017-11238
Muistin vioittuminen Tietojen paljastuminen Kriittinen CVE-2017-11239
Pinon ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-11241
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11242
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11243
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11244
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11245
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11246
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11248
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11249
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11251
Muistin vioittuminen Tietojen paljastuminen Kriittinen CVE-2017-11252
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Tärkeä CVE-2017-11254
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11255
Vapautuksen jälkeinen käyttö Koodin etäsuoritus Kriittinen CVE-2017-11256
Tyyppisekaannus Koodin etäsuoritus Kriittinen CVE-2017-11257
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11258
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11259
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11260
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11261
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11262
Muistin vioittuminen Koodin etäsuoritus Tärkeä CVE-2017-11263
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2017-11265
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11267
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11268
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11269
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11270
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-11271

Huomautus:

CVE-2017-3038 ratkaistiin päivityksissä 2017.009.20044 ja 2015.006.30306 (huhtikuun 2017 julkaisussa), mutta korjaus oli riittämätön versiolle 11.0.20.  Haavoittuvuus on nyt ratkaistu kokonaan versiossa 11.0.21 (elokuun 2017 julkaisussa).  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta
ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • @vftable yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11211 ja CVE-2017-11251)
  • Aleksandar Nikolic, Cisco Talos (CVE-2017-11263)
  • Alex Infuhr Cure 53:stä (CVE-2017-11229)
  • Ashfaq Ansari Project Srishtistä (CVE-2017-11221)
  • Ashfaq Ansari Project Srishtistä yhdessä iDefense Vulnerability Contributor -ohjelman kanssa (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Nimetön ilmoittaja Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224 ja CVE-2017-11223)
  • Fernando Munoz yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-3115)
  • Giwan Go STEALIEN & HIT -yhtiöstä yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-11228 ja CVE-2017-11230)
  • Heige (alias SuperHei) (CVE-2017-11222)
  • Jaanus Kp Clarified Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231 ja CVE-2017-11265)
  • Jaanus Kp Clarified Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja Ashfaq Ansari Project Srishtistä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11231)
  • Jihui Lu Tencent KeenLabista (CVE-2017-3119)
  • kdot yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11234, CVE-2017-11235 ja CVE-2017-11271)
  • Ke Liu Tencent's Xuanwu LABista yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270 ja CVE-2017-11261)
  • Ke Liu Tencent's Xuanwu LABista yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja Steven Seeley (mr_me) Offensive Securitystä (CVE-2017-11212, CVE-2017-11214 ja CVE-2017-11227)
  • Siberas yhdessä Beyond Securityn SecuriTeam Secure Disclosure -ohjelman kanssa (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk Tencent Security Platform Departmentista (CVE-2017-3016)
  • Sebastian Apelt siberas yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11219, CVE-2017-11256 ja CVE-2017-11257)
  • Steven Seeley (mr_me) Offensive Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123 ja CVE-2017-3124)
  • Steven Seeley yhdessä Beyond Securityn SecuriTeam Secure Disclosure -ohjelman kanssa (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Versiot

29. elokuuta 2017: ratkaisutaulukko on päivitetty 29. elokuuta saatavissa olevien uusien päivitysten mukaiseksi.  Nämä päivitykset ratkaisevat XFA-lomakkeiden toimintojen toimintakyvyn heikentymiseen liittyvät ongelmat, jotka vaivasivat joitain käyttäjiä.  29. elokuuta julkaistu päivitys ratkaisee myös tietoturvauhan CVE-2017-11223.  

CVE-2017-11223 ratkaistiin alun perin elokuun 8. päivän päivityksissä (versiot 2017.012.20093, 2017.011.30059 ja 2015.006.30352), mutta näiden julkaisujen toiminnallisen ongelman vuoksi tarjottiin pikakorjauspaketteja, jotka kumosivat CVE-2017-11223:n korjauksen. 29. elokuuta julkaistu päivitys sekä ratkaisee toiminnalliset ongelmat että korjaa CVE-2017-11223:n. Katso lisätietoja tästä blogijulkaisusta