Adobe Acrobatin ja Readerin tietoturvatiedote | APSB18-41
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-41 11. joulukuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja MacOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.   

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC  Jatkuva
2019.008.20081 ja aiemmat versiot 
Windows 
Acrobat DC  Jatkuva 2019.008.20080 ja aiemmat versiot macOS
Acrobat Reader DC Jatkuva
2019.008.20081 ja aiemmat versiot Windows
Acrobat Reader DC Jatkuva 2019.008.20080 ja aiemmat versiot macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 ja aiemmat versiot Windows
Acrobat 2017 Classic 2017 2017.011.30105 ja aiemmat versiot macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 ja aiemmat versiot Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 ja aiemmat versiot macOS
       
Acrobat DC  Classic 2015 2015.006.30457 ja aiemmat versiot  Windows
Acrobat DC  Classic 2015 2015.006.30456 ja aiemmat versiot  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 ja aiemmat versiot  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 ja aiemmat versiot  macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2019.010.20064 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC Jatkuva 2019.010.20064
Windows ja macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows ja macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows ja macOS 2 Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero

Puskurivirheet

 

Mielivaltaisen koodin suoritus

 

Kriittinen

 

CVE-2018-15998

CVE-2018-15987

 

Ei-luotetun osoittimen viitteen poisto

 

Mielivaltaisen koodin suoritus

 

 

 

Kriittinen

 

 

CVE-2018-16004

CVE-2018-19720

Suojauksen ohitus

 

Käyttöoikeuksien laajennus

 

Kriittinen

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Vapautuksen jälkeinen käyttö

 

 

 

 

Mielivaltaisen koodin suoritus

 

 

 

 

Kriittinen

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Rajat ylittävä kirjoittaminen 

 

 

 

 

Mielivaltaisen koodin suoritus

 

 

 

 

Kriittinen

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Pinon ylivuoto

 

 

 

 

Mielivaltaisen koodin suoritus

 

 

 

 

Kriittinen

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Rajat ylittävä lukeminen

 

 

 

 

Tietojen paljastuminen

 

 

 

 

Tärkeä

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Kokonaisluvun ylivuoto

 

Tietojen paljastuminen

 

 

 

Tärkeä

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Suojauksen ohitus Tietojen paljastuminen Tärkeä CVE-2018-16042

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Nimetön ilmoitus Trend Micron Zero Day -ohjelman kautta (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu, Tencentin Xuanwu Lab (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) Source Incite -yhtiöstä Trend Micron Zero Day -ohjelman kautta (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin, NSFOCUS Security Team (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang Beihangin yliopistosta Trend Micron Zero Day -ohjelman kautta (CVE-2018-16014)

  • guyio Trend Micron Zero Day -ohjelman kautta (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng Trend Micro Security Research -yksiköstä Trend Micron Zero Day -ohjelman kautta (CVE-2018-15985)

  • XuPeng Kiinan tiedeakatemian TCA/SKLCS-ohjelmistoinstuutista ja HuangZheng Baidu Security Labista (CVE-2018-12830)

  • Linan Hao Qihoo 360 Vulcan Teamista ja Zhenjie Jia Qihoo 360 Vulcan Teamista (CVE-2018-16041)

  • Steven Seeley Trend Micron Zero Day -ohjelman kautta (CVE-2018-16008)

  • Roderick Schaefer Trend Micron Zero Day -ohjelman kautta (CVE-2018-19713)

  • Lin Wang Beihangin yliopistosta (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe, Jorg Schwenk Ruhr-Universität Bochum -yliopistosta (CVE-2018-16042)

  • Aleksandar Nikolic, Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) Trend Micron Zero Day -ohjelman kautta (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Erityiskiitokset Abdul Aziz Harirille Trend Micron Zero Day -ohjelmasta hänen panoksestaan turvallisuusjärjestelyn monitasoisuuden parantamiseksi ja JavaScript API -rajoitusten ohitusten vaikeuttamiseksi (CVE-2018-16018)

  • AbdulAziz Hariri Zero Day -ohjelmast ja Sebastian Apelt panoksestaan turvallisuusjärjestelyn monitasoisuuden parantamiseksi ja Onix Indexing -hyökkäyspinnan pienentämiseksi (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng Palo Alto Networksista (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang Palo Alto Networksista (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao ja Qi Deng Palo Alto Networksista (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao ja Zhibin Zhang Palo Alto Networksista (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu Palo Alto Networksista ja Heige Knownsec 404 Security Teamista (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)