Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB18-09
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-09 14.5.2018 1

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja MacOS-versioille. Päivityksillä korjataan kriittiset haavoittuvuudet, joiden hyödyntäminen voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.

Adobe on saanut ilmoituksen siitä, että haavoittuvuutta CVE-2018-4990 on hyödynnetty käytännössä.  Tämän lisäksi CVE-2018-4993:n soveltuvuusselvitys on julkaistu, ja se on julkisesti saatavilla.   

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC  Kuluttaja 2018.011.20038 ja aiemmat versiot 
Windows ja macOS
Acrobat Reader DC  Kuluttaja 2018.011.20038 ja aiemmat versiot 
Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30079 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30079 ja aiemmat versiot Windows ja macOS
       
Acrobat DC  Classic 2015 2015.006.30417 ja aiemmat versiot
Windows ja macOS
Acrobat Reader DC  Classic 2015 2015.006.30417 ja aiemmat versiot
Windows ja macOS

Tarkempia tietoja Acrobat DC:stä on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Tarkempia tietoja Acrobat Reader DC:stä on Acrobat Readerin usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on
    havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n
    (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC 2018.011.20040
Windows ja macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows ja macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows ja macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows ja macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows ja macOS
1 Windows
macOS
Acrobat DC (Classic 2015) 2015.006.30418 Windows ja macOS 1 Windows
macOS

Huomautus:

Kuten tässä aiemmassa ilmoituksessa on mainittu, Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuki päättyi 15.10.2017.  Versio 11.0.23 on Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuotteiden viimeinen julkaisuversio. Adobe suosittelee vahvasti päivittämään nämä tuotteet Adobe Acrobat DC:n ja Adobe Acrobat Reader DC:n uusimpiin versioihin. Päivittämällä asennukset uusimpiin versioihin hyödyt viimeisimmistä toimintojen parannuksista ja parannetuista tietoturvatoimista.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Double free
Mielivaltaisen koodin suoritus Kriittinen CVE-2018-4990
Pinon ylivuoto
Mielivaltaisen koodin suoritus
Kriittinen

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Muistin vapauttamisen jälkeinen hyökkäys 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Rajat ylittävä kirjoittaminen 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-4950 
Suojauksen ohitus Tietojen paljastuminen Tärkeä CVE-2018-4979
Rajat ylittävä lukeminen Tietojen paljastuminen Tärkeä CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Tyyppisekaannus Mielivaltaisen koodin suoritus Kriittinen CVE-2018-4953
Ei-luotetun osoittimen viitteen poisto  Mielivaltaisen koodin suoritus Kriittinen CVE-2018-4987
Muistin vioittuminen Tietojen paljastuminen Tärkeä CVE-2018-4965
NTML SSO -tiivisteen anastus Tietojen paljastuminen Tärkeä CVE-2018-4993
Uuden HTTP POST -rivin syöttö XFA:n kautta Suojauksen ohitus Tärkeä CVE-2018-4995

Huomautus:

CVE-2018-4993-haavoittuvuudelta suojautumisesta on lisätietoja tässä tietämyskannan artikkelissa.  CVE-2018-4993:n lisärajoitus on ylläpitäjien käytössä. Se estää linkkejä avaavat PDF-toiminnot, kuten seuraavat: GoToE, GoToR, Käynnistä, Viestiketju, Tuo tiedot, Vie lomakkeen tiedot, Lähetä lomake ja Tyhjennä lomake. Saat lisätietoa tästä dokumentaatiosta.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta
ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Aleksandar Nikolic, Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov, ESET, ja Matt Oh, Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov, Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon ja Netanel Ben-Simon, Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon, Palo Alto Networks (CVE-2018-4959 ja CVE-2018-4961)
  • Ke Liu, Tencentin Xuanwu Lab (CVE-2018-4960, CVE-2018-4986)
  • Raportoitu anonyymisti Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ, Tencent PC Manager, Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk, Tencent Security Platform Department, Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley, Trend Micron Zero Day -ohjelman kautta (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu, Tencentin Xuanwu LAB, Trend Micron Zero Day -ohjelman kautta (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt siberas, Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4977)
  • AbdulAziz Hariri, Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao, Palo Alto Networks, ja Heige (SuperHei), Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex, Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann ja Ido Solomon, Check Point Software Technologies (CVE-2018-4993)

Versiot

15.5. 2018: Lisätyn kielen avulla ilmoitetaan käyttäjille, että haavoittuvuutta CVE-2018-4990 on hyödynnetty käytännössä, ja että CVE-2018-4985:n soveltuvuusselvitys on julkaistu, ja se on julkisesti saatavilla. CVE-2018-4995 on lisätty korvaamaan CVE-2018-4994, joka oli jo asetettu Adobe Connectiin liittyvän erillisen haavoittuvuuden vuoksi. CVE-2018-4996 lisättiin lopuksi korvaamaan CVE-2018-4946, joka oli jo asetettu Adobe Photoshopiin liittyvän erillisen haavoittuvuuden vuoksi.

16.5.2018: Yhteenveto-osio on korjattu niin, että CVE-2018-4993 korvaa CVE-2018-4985:n.  Soveltuvuusselvitys on julkisesti saatavilla CVE-2018-4993:lle, mutta ei CVE-2018-4985:lle. 

17.5.2018: Linkki lisätty dokumentaatioon, joka kuvaa CVE-2018-4993:n lisärajoitusta. Tämän avulla käyttäjiä estetään seuraamasta PDF-dokumenttien linkkejä.