Adobe 安全性公告
Adobe Acrobat 和 Reader 的安全性公告 | APSB18-41
安全性公告 ID 發佈日期 優先順序
APSB18-41 2018 年 12 月 11 日 2

摘要

Adobe 已發佈 Windows 和 MacOS 作業系統專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新旨在解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  連續
2019.008.20081 及更早版本 
Windows 
Acrobat DC  連續 2019.008.20080 及更早版本 macOS
Acrobat Reader DC 連續
2019.008.20081 及更早版本 Windows
Acrobat Reader DC 連續 2019.008.20080 及更早版本 macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 及更早版本 Windows
Acrobat 2017 Classic 2017 2017.011.30105 及更早版本 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 及更早版本 Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 及更早版本 macOS
       
Acrobat DC  Classic 2015 2015.006.30457 及更早版本  Windows
Acrobat DC  Classic 2015 2015.006.30456 及更早版本  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 及更早版本  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 及更早版本  macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2019.010.20064 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC 連續 2019.010.20064
Windows 和 macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows 和 macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows 和 macOS 2 Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號

緩衝區錯誤

 

任意執行程式碼

 

重大

 

CVE-2018-15998

CVE-2018-15987

 

不信任的指標取值

 

任意執行程式碼

 

 

 

重大

 

 

CVE-2018-16004

CVE-2018-19720

安全性略過

 

權限竊取

 

重大

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

使用釋放後記憶體 (Use After Free)

 

 

 

 

任意執行程式碼

 

 

 

 

重大

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

超出範圍寫入 

 

 

 

 

任意執行程式碼

 

 

 

 

重大

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

堆積溢位

 

 

 

 

任意執行程式碼

 

 

 

 

重大

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

超出範圍讀取

 

 

 

 

資訊揭露

 

 

 

 

重要

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

整數溢位

 

資訊揭露

 

 

 

重要

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

安全性略過 資訊揭露 重要 CVE-2018-16042

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 透過趨勢科技零時差漏洞懸賞計畫匿名回報 (CVE-2018-16029、CVE-2018-16027、CVE-2018-16025、CVE-2018-15997、CVE-2018-15992)

  • 騰訊玄武實驗室的 Ke Liu (CVE-2018-19706、CVE-2018-19705、CVE-2018-19704、CVE-2018-19703、CVE-2018-19702、CVE-2018-16035、CVE-2018-16020、 CVE-2018-16019、CVE-2018-16016、CVE-2018-16015、CVE-2018-16013、CVE-2018-15990、CVE-2018-15988)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 kdot (CVE-2018-19712、CVE-2018-19711、CVE-2018-16030、CVE-2018-16028、CVE-2018-16012、CVE-2018-16002、CVE-2018-16001、CVE-2018-15996)

  • 透過趨勢科技零時差漏洞懸賞計畫回報,來自 Source Incite 的 Esteban Ruiz (mr_me) (CVE-2018-16026、CVE-2018-15994、CVE-2018-15993、CVE-2018-15991、CVE-2018-16008)

  • 綠盟科技安全小組的 Du pingxin (CVE-2018-16022、CVE-2018-16021、CVE-2018-16017、CVE-2018-16000、CVE-2018-15999)

  • 與趨勢科技零時差漏洞懸賞計畫合作的北京航空航天大學 Lin Wang (CVE-2018-16014)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 guyio (CVE-2018-16024、CVE-2018-16023、CVE-2018-15995)

  • 透過趨勢科技零時差漏洞懸賞計畫回報,來自趨勢科技安全研究部的 Pengsu Cheng (CVE-2018-15985)

  • 來自中國科學院軟體研究所 TCA/SKLCS 的 XuPeng 和百度安全實驗室的 HuangZheng (CVE-2018-12830)

  • 奇虎 360 Vulcan 團隊的 Linan Hao 和 Zhenjie Jia (CVE-2018-16041)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Steven Seeley (CVE-2018-16008)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Roderick Schaefer (CVE-2018-19713)

  • 北京航空航天大學的 Lin Wang (CVE-2018-15998、CVE-2018-15989、CVE-2018-15987、CVE-2018-15986、CVE-2018-15984)

  • 德國波鴻魯爾大學的 Vladislav Mladenov、Christian Mainka、Karsten Meyer zu Selhausen、Martin Grothe、Jorg Schwenk (CVE-2018-16042)

  • Cisco Talos 的 Aleksandar Nikolic (CVE-2018-19716)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Kamlapati Choubey (CVE-2018-19714)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Sebastian Apelt (@bitshifter123) (CVE-2018-16010、CVE-2018-16003、CVE-2018-16044、CVE-2018-19720、CVE-2018-19719)

  • 特別感謝趨勢科技零時差漏洞懸賞計畫的 Abdul Aziz Hariri,他強化了 JavaScript API 限制免除機制的深度防禦 (CVE-2018-16018)

  • 趨勢科技零時差漏洞懸賞計畫的 Abdul Aziz Hariri 及 Sebastian Apelt,他們為 Onix Indexing 攻擊面建構深度防禦以減緩受到的影響 (CVE-2018-16004、CVE-2018-16005、CVE-2018-16007、CVE-2018-16009、CVE-2018-16043、CVE-2018-16045、CVE-2018-16046)

  • Palo Alto Networks 的 Qi Deng (CVE-2018-16033、CVE-2018-16032、CVE-2018-16031)

  • Palo Alto Networks 的 Zhibin Zhang (CVE-2018-16037、CVE-2018-16036、CVE-2018-16034)

  • Palo Alto Networks 的 Hui Gao 和 Qi Deng (CVE-2018-19698、CVE-2018-16047、CVE-2018-16040、CVE-2018-16038)

  • Palo Alto Networks 的 Hui Gao 和 Zhibin Zhang (CVE-2018-19710、CVE-2018-19709、CVE-2018-19707、CVE-2018-19700、CVE-2018-19699)

  • Palo Alto Networks 的 Bo Qu 和知道創宇 404 安全團隊的 Heige (CVE-2018-19717、CVE-2018-19715、CVE-2018-19708、CVE-2018-19701、CVE-2018-16039)