Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB18-02
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-02 13. helmikuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, jotka voivat johtaa siihen, että hyökkääjä saa altistuneen järjestelmän haltuunsa. 

Versiot

Tuote Versiot Ympäristö
Acrobat DC (Continuous Track) 2018.009.20050 ja aiemmat versiot 
Windows ja Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20050 ja aiemmat versiot 
Windows ja Macintosh
     
Acrobat 2017 2017.011.30070 ja aiemmat versiot Windows ja Macintosh
Acrobat Reader 2017 2017.011.30070 ja aiemmat versiot Windows ja Macintosh
     
Acrobat DC (Classic Track) 2015.006.30394 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30394 ja aiemmat versiot
Windows ja Macintosh

Tarkempia tietoja Acrobat DC:stä on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Tarkempia tietoja Acrobat Reader DC:stä on Acrobat Readerin usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on
    havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n
    (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC (Continuous Track) 2018.011.20035
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.011.20035
Windows ja Macintosh 2 Latauskeskus
         
Acrobat 2017 2017.011.30078 Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows ja Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30413
Windows
2 Windows
Acrobat DC (Classic Track) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30413
Windows 2 Latauskeskus
Acrobat Reader DC (Classic Track) 2015.006.30416 Macintosh 2 Latauskeskus

Huomautus:

Kuten tässä aiemmassa ilmoituksessa on mainittu, Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuki päättyi 15.10.2017.  Versio 11.0.23 on Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuotteiden viimeinen julkaisuversio. Adobe suosittelee vahvasti päivittämään nämä tuotteet Adobe Acrobat DC:n ja Adobe Acrobat Reader DC:n uusimpiin versioihin. Päivittämällä asennukset uusimpiin versioihin hyödyt viimeisimmistä toimintojen parannuksista ja parannetuista tietoturvatoimista.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Tietoturvan suojausominaisuuden ohitus
Käyttöoikeuksien laajennus
Kriittinen CVE-2018-4872
Pinon ylivuoto
Mielivaltaisen koodin suoritus
Kriittinen

CVE-2018-4890, CVE-2018-4904, CVE-2018-4910, CVE-2018-4917 

Muistin vapauttamisen jälkeinen hyökkäys 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-4888, CVE-2018-4892, CVE-2018-4902, CVE-2018-4911, CVE-2018-4913 
Rajat ylittävä kirjoittaminen 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-4879, CVE-2018-4895, CVE-2018-4898, CVE-2018-4901, CVE-2018-4915, CVE-2018-4916, CVE-2018-4918 
Rajat ylittävä lukeminen
Koodin etäsuoritus Tärkeä CVE-2018-4880, CVE-2018-4881, CVE-2018-4882, CVE-2018-4883, CVE-2018-4884, CVE-2018-4885, CVE-2018-4886, CVE-2018-4887, CVE-2018-4889, CVE-2018-4891, CVE-2018-4893, CVE-2018-4894, CVE-2018-4896, CVE-2018-4897, CVE-2018-4899, CVE-2018-4900, CVE-2018-4903, CVE-2018-4905, CVE-2018-4906, CVE-2018-4907, CVE-2018-4908, CVE-2018-4909, CVE-2018-4912, CVE-2018-4914 

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta
ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Aleksandar Nikolic, Cisco Talos (CVE-2018-4901)
  • Nimetön ilmoitus Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4915, CVE-2018-4913, CVE-2018-4911, CVE-2018-4910) 
  • Gal De Leon (CVE-2018-4900) 
  • Jaanus Kp Clarified Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4892, CVE-2018-4882)
  • Tencentin Xuanwu LABin Ke Liu yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4905, CVE-2018-4904, CVE-2018-4891, CVE-2018-4890, CVE-2018-4889, CVE-2018-4887, CVE-2018-4886, CVE-2018-4885, CVE-2018-4883, CVE-2018-4884) 
  • Tencentin Xuanwu LABin Ke Liu yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja Tencent PC Managerin willJ yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4903) 
  • Tencentin Xuanwu LABin Ke Liu (CVE-2018-4906, CVE-2018-4917, CVE-2018-4918) 
  • Lin Wang Beihang University -yliopistosta (CVE-2018-4879, CVE-2018-4899, CVE-2018-4896, CVE-2018-4895, CVE-2018-4893) 
  • Lin Wang Beihang University -yliopistosta ja Tencent PC Managerin willJ yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CCVE-2018-4898) 
  • Lin Wang Beihang University -yliopistosta ja Source Inciten Steven Seeley yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4894)
  • Tencent Security Platform Departmentin riusksk yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4916, CVE-2018-4881, CVE-2018-4880) 
  • Tencent Security Platform Departmentin riusksk (CVE-2018-4908)
  • Sebastian Apelt siberas yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4888) 
  • Tencent PC Managerin willJ (CVE-2018-4897, CVE-2018-4907) 
  • Tencent PC Managerin willJ yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-4914, CVE-2018-4912, CVE-2018-4909) 
  • XuPeng ja HuangZheng Baidu Security Labista (CVE-2018-4902) 

Versiot

14. helmikuuta 2018: päivitetty kiitostaulukko.