Adobe Acrobat 和 Reader 的安全性公告 | APSB18-21
安全性公告 ID 發佈日期 優先順序
APSB18-21 2018 年 7 月 10 日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重大重要弱點。  這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台 優先順序分級
Acrobat DC  連續
2018.011.20040 及更早版本 
Windows 和 macOS 作業系統 2
Acrobat Reader DC 連續
2018.011.20040 及更早版本 
Windows 和 macOS 作業系統 2
         
Acrobat 2017 Classic 2017 2017.011.30080 及更早版本 Windows 和 macOS 作業系統 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 及更早版本 Windows 和 macOS 作業系統 2
         
Acrobat DC  Classic 2015 2015.006.30418 及更早版本
Windows 和 macOS 作業系統 2
Acrobat Reader DC  Classic 2015 2015.006.30418 及更早版本
Windows 和 macOS 作業系統 2

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面

如有 Acrobat Reader DC 的相關問題,請前往 Acrobat Reader DC 常見問答集頁面。

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2018.011.20055
Windows 和 macOS 作業系統 2
Windows
macOS 作業系統
Acrobat Reader DC 連續 2018.011.20055
Windows 和 macOS 作業系統 2
Windows
macOS 作業系統
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows 和 macOS 作業系統 2
Windows
macOS 作業系統
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows 和 macOS 作業系統 2
Windows
macOS 作業系統
           
Acrobat DC Classic 2015 2015.006.30434
Windows 和 macOS 作業系統
2
Windows
macOS 作業系統
Acrobat Reader DC Classic 2015 2015.006.30434 Windows 和 macOS 作業系統 2
Windows
macOS 作業系統

註解:

如這份舊版公告中所說,我們已在 2017 年 10 月 15 日結束對 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的支援。11.0.23 版是 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的最後版本。Adobe 強烈建議您更新至最新版本的 Adobe Acrobat DC 和 Adobe Acrobat Reader DC。安裝最新版本的更新後,您將能獲得最新的功能強化與改善的安全措施。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
雙重釋放
執行任意程式碼 重大 CVE-2018-12782
堆積溢位
執行任意程式碼
重大 CVE-2018-5015、CVE-2018-5028、CVE-2018-5032、CVE-2018-5036、CVE-2018-5038、CVE-2018-5040、CVE-2018-5041、CVE-2018-5045、CVE-2018-5052、CVE-2018-5058、CVE-2018-5067、CVE-2018-12785、CVE-2018-12788、CVE-2018-12798
使用已釋放記憶體 
執行任意程式碼
重大 CVE-2018-5009、CVE-2018-5011、CVE-2018-5065、CVE-2018-12756、CVE-2018-12770、CVE-2018-12772、CVE-2018-12773、CVE-2018-12776、CVE-2018-12783、CVE-2018-12791、CVE-2018-12792、CVE-2018-12796、CVE-2018-12797
超出範圍寫入 
執行任意程式碼
重大 CVE-2018-5020、CVE-2018-5021、CVE-2018-5042、CVE-2018-5059、CVE-2018-5064、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12758、CVE-2018-12760、CVE-2018-12771、CVE-2018-12787
安全性略過 權限竊取
重大
CVE-2018-12802
超出範圍讀取 資訊揭露 重要 CVE-2018-5010、CVE-2018-12803、CVE-2018-5014、CVE-2018-5016、CVE-2018-5017、CVE-2018-5018、CVE-2018-5019、CVE-2018-5022、CVE-2018-5023、CVE-2018-5024、CVE-2018-5025、CVE-2018-5026、CVE-2018-5027、CVE-2018-5029、CVE-2018-5031、CVE-2018-5033、CVE-2018-5035、CVE-2018-5039、CVE-2018-5044、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5053、CVE-2018-5054、CVE-2018-5055、CVE-2018-5056、CVE-2018-5060、CVE-2018-5061、CVE-2018-5062、CVE-2018-5063、CVE-2018-5066、CVE-2018-5068、CVE-2018-12757、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767、CVE-2018-12768、CVE-2018-12774、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12786、CVE-2018-12789、CVE-2018-12790、CVE-2018-12795
類型混淆 執行任意程式碼 重大 CVE-2018-5057、CVE-2018-12793、CVE-2018-12794
不信任的指標取值  執行任意程式碼 重大 CVE-2018-5012、CVE-2018-5030
緩衝區錯誤
執行任意程式碼 重大 CVE-2018-5034、CVE-2018-5037、CVE-2018-5043、CVE-2018-12784

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Palo Alto Networks 的 Gal De Leon (CVE-2018-5009、CVE-2018-5066)

  • 經由趨勢科技零時差漏洞懸賞計畫匿名回報 (CVE-2018-12770、CVE-2018-12771、CVE-2018-12772、CVE-2018-12773、CVE-2018-12774、CVE-2018-12776、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12783、CVE-2018-12795、CVE-2018-12797)

  • 來自騰訊 PC 管理員並與趨勢科技零時差漏洞懸賞計畫合作的 WillJ (CVE-2018-5058、CVE-2018-5063、CVE-2018-5065)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (CVE-2018-5012、CVE-2018-5030、CVE-2018-5033、CVE-2018-5034、CVE-2018-5035、CVE-2018-5059、CVE-2018-5060、CVE-2018-12793、CVE-2018-12796)

  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt siberas (CVE-2018-12794)

  • 來自成都奇虎 360 科技有限公司的 Zhiyuan Wang (CVE-2018-12758)

  • 來自北京航空航天大學的 Lin Wang (CVE-2018-5010、CVE-2018-5020、CVE-2018-12760、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12787、CVE-2018-5067)

  • 來自奇虎 360 Vulcan 團隊的 Zhenjie Jia (CVE-2018-12757)

  • 來自 Check Point Software Technologies 的 Netanel Ben Simon 和 Yoav Alon (CVE-2018-5063、CVE-2018-5064、CVE-2018-5065、CVE-2018-5068、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767、CVE-2018-12768)

  • Cisco Talos 的 Aleksandar Nikolic (CVE-2018-12756)

  • Kaspersky Lab 的 Vladislav Stolyarov (CVE-2018-5011)

  • 騰訊玄武實驗室的 Ke Liu (CVE-2018-12785、CVE-2018-12786)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Kdot (CVE-2018-5036、CVE-2018-5037、CVE-2018-5038、CVE-2018-5039、CVE-2018-5040、CVE-2018-5041、CVE-2018-5042、CVE-2018-5043、CVE-2018-5044、CVE-2018-5045、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5052、CVE-2018-5053、CVE-2018-5054、CVE-2018-5020)

  • 來自趨勢科技並與趨勢科技零時差漏洞懸賞計畫合作的 Pengsu Cheng (CVE-2018-5061、CVE-2018-5067、CVE-2018-12790、CVE-2018-5056)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Ron Waisberg (CVE-2018-5062、CVE-2018-12788、CVE-2018-12789)

  • 來自 Source Incite 並與 iDefense Labs 合作的 Steven Seeley (mr_me) (CVE-2018-12791、CVE-2018-12792、CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • 來自中國科學院軟件研究所 TCA/SKLCS 的 XuPeng 和百度安全實驗室的 HuangZheng (CVE-2018-12782)

  • 匿名回報 (CVE-2018-12784、 CVE-2018-5009)

  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 mr_me (CVE-2018-12761)

  • 來自 Palo Alto Networks 的 Zhanglin He 和 Bo Qu (CVE-2018-5023、CVE-2018-5024)

  • 來自 Palo Alto Networks 的 Bo Qu 和來自 Knownsec 404 Security Team 的 Heige (CVE-2018-5021、CVE-2018-5022、CVE-2018-5025、CVE-2018-5026)