Adobe Acrobatin ja Readerin tietoturvatiedote | APSB18-21
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-21 10. heinäkuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia.  Jos haavoittuvuuksia onnistuttaisiin hyödyntämään, se voisi johtaa mielivaltaisen koodin suoritukseen kulloisenkin käyttäjän laajuudessa.

Versiot

Tuote seurataan Versiot Ympäristö Prioriteettiluokitus
Acrobat DC  Jatkuva
2018.011.20040 ja aiemmat versiot 
Windows ja macOS 2
Acrobat Reader DC Jatkuva
2018.011.20040 ja aiemmat versiot 
Windows ja macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 ja aiemmat versiot Windows ja macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 ja aiemmat versiot Windows ja macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 ja aiemmat versiot
Windows ja macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 ja aiemmat versiot
Windows ja macOS 2

Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on
    havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2018.011.20055
Windows ja macOS 2
Windows
macOS
Acrobat Reader DC Jatkuva 2018.011.20055
Windows ja macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows ja macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows ja macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows ja macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows ja macOS 2
Windows
macOS

Huomautus:

Kuten tässä aiemmassa ilmoituksessa on mainittu, Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuki päättyi 15.10.2017.  Versio 11.0.23 on Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuotteiden viimeinen julkaisuversio. Adobe suosittelee vahvasti päivittämään nämä tuotteet Adobe Acrobat DC:n ja Adobe Acrobat Reader DC:n uusimpiin versioihin. Päivittämällä asennukset uusimpiin versioihin hyödyt viimeisimmistä toimintojen parannuksista ja parannetuista tietoturvatoimista.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Double free
Mielivaltaisen koodin suoritus Kriittinen CVE-2018-12782
Pinon ylivuoto
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-5015, CVE-2018-5028, CVE-2018-5032, CVE-2018-5036, CVE-2018-5038, CVE-2018-5040, CVE-2018-5041, CVE-2018-5045, CVE-2018-5052, CVE-2018-5058, CVE-2018-5067, CVE-2018-12785, CVE-2018-12788, CVE-2018-12798
Muistin vapauttamisen jälkeinen hyökkäys 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-5009, CVE-2018-5011, CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796, CVE-2018-12797  
Rajat ylittävä kirjoittaminen 
Mielivaltaisen koodin suoritus
Kriittinen CVE-2018-5020, CVE-2018-5021, CVE-2018-5042, CVE-2018-5059, CVE-2018-5064, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771, CVE-2018-12787
Suojauksen ohitus Käyttöoikeuksien laajennus
Kriittinen
CVE-2018-12802
Rajat ylittävä lukeminen Tietojen paljastuminen Tärkeä CVE-2018-5010, CVE-2018-12803, CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790, CVE-2018-12795
Tyyppisekaannus Mielivaltaisen koodin suoritus Kriittinen CVE-2018-5057, CVE-2018-12793, CVE-2018-12794
Ei-luotetun osoittimen viitteen poisto  Mielivaltaisen koodin suoritus Kriittinen CVE-2018-5012, CVE-2018-5030
Puskurivirheet
Mielivaltaisen koodin suoritus Kriittinen CVE-2018-5034, CVE-2018-5037, CVE-2018-5043, CVE-2018-12784

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Gal De Leon, Palo Alto Networks (CVE-2018-5009 ja CVE-2018-5066)

  • Nimetön ilmoitus Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783, CVE-2018-12795, CVE-2018-12797)

  • Tencent PC Managerin willJ yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-5058, CVE-2018-5063, CVE-2018-5065)

  • Steven Seeley Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793, CVE-2018-12796) 

  • Ke Liu Tencentin Xuanwu LABista Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • Sebastian Apelt siberas Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-12794)

  • Zhiyuan Wang, Chengdu Qihoo360 Tech Co. Ltd. (CVE-2018-12758)

  • Lin Wang, Beihangin yliopisto (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787, CVE-2018-5067) 

  • Zhenjie Jia, Qihoo 360 Vulcan Team (CVE-2018-12757)

  • Netanel Ben Simon ja Yoav Alon, Check Point Software Technologies (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767. CVE-2018-12768)

  • Aleksandar Nikolic, Cisco Talos (CVE-2018-12756)

  • Vladislav Stolyarov, Kaspersky Lab (CVE-2018-5011) 

  • Ke Liu, Tencentin Xuanwu Lab (CVE-2018-12785, CVE-2018-12786)

  • Kdot Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054, CVE-2018-5020)

  • Trend Micron Pengsu Cheng yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790, CVE-2018-5056)

  • Ron Waisberg yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-5062, CVE-2018-12788, CVE-2018-12789) 

  • Steven Seeley (mr_me) Source Incitesta yhteistyössä iDefense Labsin kanssa (CVE-2018-12791, CVE-2018-12792, CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • XuPeng Kiinan tiedeakatemian TCA/SKLCS-ohjelmistoinstuutista ja HuangZheng Baidu Security Labista (CVE-2018-12782)

  • Nimetön ilmoitus (CVE-2018-12784, CVE-2018-5009)

  • mr_me Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-12761)

  • Zhanglin He ja Bo Qu, Palo Alto Networks (CVE-2018-5023, CVE-2018-5024)

  • Bo Qu Palo Alto Networksista ja Heige Knownsec 404 Security Teamistä (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025, CVE-2018-5026)