마지막 업데이트 날짜
2022년 1월 14일
Adobe Acrobat 및 Reader에 대한 보안 업데이트 | APSB17-24
|
게시 날짜 |
우선 순위 |
|
|---|---|---|
|
APSB17-24 |
2017년 8월 8일 |
2 |
요약
해당하는 버전
Acrobat DC에 대한 자세한 내용은 Acrobat DC FAQ 페이지에서 확인하십시오.
Acrobat Reader DC에 대한 자세한 내용은 Acrobat Reader DC FAQ 페이지에서 확인하십시오.
해결 방법
아래 지침에 따라 소프트웨어 설치를 최신 버전으로 업데이트하는 것이 좋습니다.
최종 사용자는 다음 방법 중 하나로 최신 제품 버전을 사용할 수 있습니다.
- 사용자는 [도움말] > [업데이트 확인]을 선택하여 수동으로 제품 설치를 업데이트할 수 있습니다.
- 업데이트가 감지되면 사용자가 개입하지 않아도 제품이 자동으로 업데이트됩니다.
- 정품 Acrobat Reader 설치 프로그램은 Acrobat Reader 다운로드 센터에서 다운로드할 수 있습니다.
IT 관리자의 경우(관리 환경):
- ftp://ftp.adobe.com/pub/adobe/에서 엔터프라이즈 설치 프로그램을 다운로드하거나, 특정 릴리스 노트 버전을 참조하여 설치 프로그램 링크를 찾으십시오.
- AIP-GPO, bootstrapper, SCUP/SCCM
(Windows) 또는 Apple Remote Desktop 및 SSH(Macintosh) 등과 같은 선호하는 방법을 통해 업데이트를 설치하십시오.
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
| 제품 | 업데이트된 버전 | 플랫폼 | 우선 순위 등급 | 사용 가능성 |
|---|---|---|---|---|
| Acrobat DC(연속 트랙) | 2017.012.20098 |
Windows 및 Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC(연속 트랙) | 2017.012.20098 | Windows 및 Macintosh | 2 | 다운로드 센터 |
| Acrobat 2017 | 2017.011.30066 | Windows 및 Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows 및 Macintosh | 2 | Windows Macintosh |
| Acrobat DC(클래식 트랙) | 2015.006.30355 |
Windows 및 Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC(클래식 트랙) | 2015.006.30355 |
Windows 및 Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows 및 Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows 및 Macintosh | 2 | Windows Macintosh |
참고:
버전 11.0.22는 11.0.21에 도입된 XFA 양식의 기능 회귀에 영향을 받는 사용자가 사용할 수 있습니다. 자세한 내용은 여기를 참조하십시오. 11.0.22와 11.0.21 모두 이 공지에서 언급된 모든 보안 취약점을 해결합니다.
취약성 세부 정보
| 취약점 카테고리 | 취약성 영향 | 심각도 | CVE 번호 |
|---|---|---|---|
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-3016 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-3038 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-3113 |
| 데이터 인증의 검사 불충분 | 정보 공개 | 중요 | CVE-2017-3115 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-3116 |
| 힙 오버플로우 | 원격 코드 실행 | 치명적 | CVE-2017-3117 |
| 보안 우회 | 정보 공개 | 중요 | CVE-2017-3118 |
| 메모리 손상 | 원격 코드 실행 | 중요 | CVE-2017-3119 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-3120 |
| 힙 오버플로우 | 원격 코드 실행 | 치명적 | CVE-2017-3121 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-3122 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-3123 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-3124 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11209 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11210 |
| 힙 오버플로우 | 원격 코드 실행 | 치명적 | CVE-2017-11211 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11212 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11214 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11216 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11217 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11218 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11219 |
| 힙 오버플로우 | 원격 코드 실행 | 치명적 | CVE-2017-11220 |
| 유형 혼란 | 원격 코드 실행 | 치명적 | CVE-2017-11221 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11222 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11223 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11224 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11226 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11227 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11228 |
| 보안 우회 | 원격 코드 실행 | 중요 | CVE-2017-11229 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11230 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11231 |
| 무료 평가판 이후 사용 | 정보 공개 | 중요 | CVE-2017-11232 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11233 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11234 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11235 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11236 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11237 |
| 메모리 손상 | 정보 공개 | 치명적 | CVE-2017-11238 |
| 메모리 손상 | 정보 공개 | 치명적 | CVE-2017-11239 |
| 힙 오버플로우 | 원격 코드 실행 | 치명적 | CVE-2017-11241 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11242 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11243 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11244 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11245 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11246 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11248 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11249 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11251 |
| 메모리 손상 | 정보 공개 | 치명적 | CVE-2017-11252 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 중요 | CVE-2017-11254 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11255 |
| 무료 평가판 이후 사용 | 원격 코드 실행 | 치명적 | CVE-2017-11256 |
| 유형 혼란 | 원격 코드 실행 | 치명적 | CVE-2017-11257 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11258 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11259 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11260 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11261 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11262 |
| 메모리 손상 | 원격 코드 실행 | 중요 | CVE-2017-11263 |
| 메모리 손상 | 정보 공개 | 중요 | CVE-2017-11265 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11267 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11268 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11269 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11270 |
| 메모리 손상 | 원격 코드 실행 | 치명적 | CVE-2017-11271 |
참고:
CVE-2017-3038은 2017.009.20044 및 2015.006.30306(2017년 4월 릴리스)에서 해결되었지만 버전 11.0.20에서는 수정되지 않았습니다. 이 취약점은 이제 버전 11.0.21(2017년 8월 릴리즈)에서 완전히 해결되었습니다.
감사의 말
Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에
도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- @Trend Micro의 Zero Day Initiative와 협력하는 vftable(CVE-2017-11211, CVE-2017-11251)
- Cisco Talos의 Aleksandar Nikolic(CVE-2017-11263)
- Cure 53의 Alex Infuhr(CVE-2017-11229)
- Project Srishti의 Ashfaq Ansari(CVE-2017-11221)
- iDefense Vulnerability Contributor Program과 협력하는 Project Srishti의 Ashfaq Ansari(CVE-2017-3038)
- Cybellum Technologies LTD(CVE-2017-3117)
- Trend Micro의 Zero Day Initiative를 통해 익명으로 보고(CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Trend Micro의 Zero Day Initiative와 협력하는 Fernando Munoz(CVE-2017-3115)
- Trend Micro의 Zero Day Initiative와 협력하는 STEALIEN & HIT의 Giwan Go(CVE-2017-11228, CVE-2017-11230)
- Knwonsec 404 팀의 Heige(SuperHei)(CVE-2017-11222)
- Trend Micro의 Zero Day Initiative와 협력하는 Jaanus Kp Clarified Security(CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Trend Micro의 Zero Day Initiative와 협력하는 Jaanus Kp Clarified Security 및 Trend Micro의 Zero Day Initiative와 협력하는 Ashfaq Ansari - Project Srishti(CVE-2017-11231)
- Tencent KeenLab의 Jihui Lu(CVE-2017-3119)
- Trend Micro의 Zero Day Initiative와 협력하는 kdot(CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Trend Micro의 Zero Day Initiative와 협력하는 Tencent's Xuanwu LAB의 Ke Liu(CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Trend Micro의 Zero Day Initiative와 협력하는 Tencent's Xuanwu LAB의 Ke Liu 및 Offensive Security의 Steven Seeley(mr_me)(CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Beyond Security의 SecuriTeam Secure Disclosure Program과 협력하는 Siberas(CVE-2017-11254)
- Richard Warren(CVE-2017-3118)
- Tencent Security Platform Department의 Riusksk(CVE-2017-3016)
- Trend Micro의 Zero Day Initiative와 협력하는 Sebastian Apelt siberas(CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Trend Micro의 Zero Day Initiative와 협력하는 Offensive Security의 Steven Seeley(mr_me)(CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Beyond Security의 SecuriTeam Secure Disclosure Program과 협력하는 Steven Seeley(CVE-2017-11220)
- Steven Seeley(CVE-2017-11262)
- Sushan(CVE-2017-11226
- Toan Pham(CVE-2017-3116)
수정
2017년 8월 29일: 솔루션 테이블이 8월 29일부터 사용 가능한 새로운 업데이트를 반영하도록 업데이트되었습니다. 이 업데이트는 일부 사용자에게 영향을 준 XFA 양식 기능을 사용하여 기능 회귀를 해결합니다. 8월 29일 릴리스는 보안 취약점 CVE-2017-11223도 해결합니다.
CVE-2017-11223은 8월 8일의 업데이트(버전 2017.012.20093, 2017.011.30059 및 2015.006.30352)에서 처음 해결되었지만 해당 릴리스의 기능 회귀로 인해 제공된 임시 핫픽스가 CVE-2017-11223에 대한 수정을 되돌렸습니다. 8월 29일 릴리스는 회귀를 해결하고 CVE-2017-11223에 대한 수정을 제공합니다. 자세한 내용은 이 블로그 게시물을 참조하십시오.
