Adobe Acrobatin ja Readerin tietoturvatiedote | APSB18-30
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-30 1. lokakuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja MacOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä  haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.

Versiot

Tuote seurataan Versiot Ympäristö Prioriteettiluokitus
Acrobat DC  Jatkuva
2018.011.20063 ja aiemmat versiot 
Windows ja macOS 2
Acrobat Reader DC Jatkuva
2018.011.20063 ja aiemmat versiot 
Windows ja macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 ja aiemmat versiot Windows ja macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 ja aiemmat versiot Windows ja macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 ja aiemmat versiot
Windows ja macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 ja aiemmat versiot
Windows ja macOS 2

Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2019.008.20071
Windows ja macOS 2
Windows
macOS
Acrobat Reader DC Jatkuva 2019.008.20071
Windows ja macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows ja macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows ja macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows ja macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows ja macOS 2
Windows
macOS

Huomautus:

Kuten tässä aiemmassa ilmoituksessa on mainittu, Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuki päättyi 15.10.2017.  Versio 11.0.23 on Adobe Acrobat 11.x- ja Adobe Reader 11.x -tuotteiden viimeinen julkaisuversio. Adobe suosittelee vahvasti päivittämään nämä tuotteet Adobe Acrobat DC:n ja Adobe Acrobat Reader DC:n uusimpiin versioihin. Päivittämällä asennukset uusimpiin versioihin hyödyt viimeisimmistä toimintojen parannuksista ja parannetuista tietoturvatoimista.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä kirjoittaminen 
Mielivaltaisen koodin suoritus
Kriittinen

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Rajat ylittävä lukeminen Tietojen paljastuminen Tärkeä

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Pinon ylivuoto

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Vapautuksen jälkeinen käyttö

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Tyyppisekaannus

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Pinon ylivuoto

Tietojen paljastuminen

Tärkeä

CVE-2018-12838

Double free

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-12841

Kokonaisluvun ylivuoto

Tietojen paljastuminen

Tärkeä

CVE-2018-12881,

CVE-2018-12842

Puskurivirheet

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Ei-luotetun osoittimen viitteen poisto

Mielivaltaisen koodin suoritus

Kriittinen

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Suojauksen ohitus

Käyttöoikeuksien laajennus

Kriittinen

CVE-2018-15966

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Anonyymi Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-12851)
  • Zhiyuan Wang, Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • willJ yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-12856, CVE-2018-12855)
  • Sebastian Apelt siberasista yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2018-12858)
  • Lin Wang Beihangin yliopistosta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-12876, CVE-2018-12868)
  • Esteban Ruiz (mr_me) Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2018-12879, CVE-2018-12877)
  • Kamlapati Choubey Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Ron Waisberg Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Aleksandar Nikolic, Cisco Talos.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Lin Wang Beihangin yliopistosta (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Gal De Leon Palo Alto Networksista (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Zhenjie Jia, Qihoo 360 Vulcan Team (CVE-2018-12831)
  • Hui Gao Palo Alto Networksista ja Heige (eli SuperHei) Knownsec 404 Security Team -yhtiöstä (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Bo Qu ja Zhibin Zhang, Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Qi Deng Palo Alto Networksista ja Heige (SuperHei) Knownsec 404 Security Team -yhtiöstä (CVE-2018-15977)
  • Esteban Ruiz (mr_me) Source Incitesta yhteistyössä iDefense Labsin kanssa (CVE-2018-12835)
  • Ashfaq Ansari - Project Srishti yhteistyössä iDefense Labsin kanssa (CVE-2018-15968)
  • Netanel Ben-Simon ja Yoav Alon Check Point Software Technologiesista (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Wei Wei (@Danny__Wei), Tencentin Xuanwu Lab (CVE-2018-15966)