Freigabedatum: 5. Januar 2017
Letzte Aktualisierung: 30. März 2017
Kennung der Sicherheitslücke: APSB17-01
Priorität: 2
CVE-Nummern: CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2946, CVE-2017-2947, CVE-2017-2948, CVE-2017-2949, CVE-2017-2950, CVE-2017-2951, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2959, CVE-2017-2960, CVE-2017-2961, CVE-2017-2962, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966, CVE-2017-2967, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972, CVE-2017-3009, CVE-2017-3010
Plattform: Windows und Macintosh
Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Produkt | Überwachen | Betroffene Versionen | Plattform |
---|---|---|---|
Adobe Acrobat DC | Fortlaufend | 15.020.20042 und frühere Versionen |
Windows und Macintosh |
Acrobat Reader DC | Fortlaufend | 15.020.20042 und frühere Versionen |
Windows und Macintosh |
Adobe Acrobat DC | Klassisch | 15.006.30244 und frühere Versionen |
Windows und Macintosh |
Acrobat Reader DC | Klassisch | 15.006.30244 und frühere Versionen |
Windows und Macintosh |
Acrobat XI | Nur Desktop-Applikation | 11.0.18 und frühere Versionen | Windows und Macintosh |
Reader XI | Nur Desktop-Applikation | 11.0.18 und frühere Versionen | Windows und Macintosh |
Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
- Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
- Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
- Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
- Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
- Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt | Überwachen | Aktualisierte Versionen | Plattform | Priorität | Verfügbarkeit |
---|---|---|---|---|---|
Adobe Acrobat DC | Fortlaufend | 15.023.20053 |
Windows und Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC | Fortlaufend | 15.023.20053 |
Windows und Macintosh | 2 | Download-Center |
Adobe Acrobat DC | Klassisch | 15.006.30279 |
Windows und Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC | Klassisch | 15.006.30279 |
Windows und Macintosh | 2 | Windows Macintosh |
Acrobat XI | Nur Desktop-Applikation | 11.0.19 | Windows und Macintosh | 2 | Windows Macintosh |
Reader XI | Nur Desktop-Applikation | 11.0.19 | Windows und Macintosh | 2 | Windows Macintosh |
- Diese Updates schließen eine Sicherheitslücke, die aufgrund einer Typverwechslung entstehen kann und die Ausführung von Code ermöglicht (CVE-2017-2962).
- Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2961).
- Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Überlaufs entstehen und die die Ausführung von Code ermöglichen (CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959, CVE-2017-2966, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972).
- Die Updates schließen Sicherheitslücken, die aufgrund eines Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2017-2948, CVE-2017-2952).
- Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2967, CVE-2017-3010).
- Die Updates schließen eine Schwachstelle, die es Angreifern ermöglicht, Sicherheitsabfragen zu umgehen (CVE-2017-2947).
- Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs entsteht und die Offenlegung von Informationen ermöglicht (CVE-2017-3009).
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
- Jaanus Kääp von Clarified Security und Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2939)
- kelvinwang von Tencent PC Manager (CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958)
- Steven Seeley von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Kushal Arvind Shah aus dem FortiGuard Labs-Team von Fortinet (CVE-2017-2946)
- Sebastian Apelt (siberas) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2961, CVE-2017-2967)
- Ke Liu von Tencent's Xuanwu LAB (CVE-2017-2940, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2972)
- kdot in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2941, CVE-2017-3009)
- Nicolas Grégoire (Agarri) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2962)
- Nicolas Grégoire von Agarri in Zusammenarbeit mit dem iDefense Vulnerability Contributor Program (CVE-2017-2948)
- Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2951, CVE-2017-2970)
- Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Anonym in Zusammenarbeit mit iDefense (CVE-2017-2950)
- Ke Liu von Tencent's Xuanwu LAB in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und riusksk (泉哥) von Tencent Security Platform Department (CVE-2017-2959)
- Ke Liu von Tencent's Xuanwu LAB in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966)
- Wei Lei und Liu Yang der Nanyang Technological University, Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Nicolas Grégoire von Agarri in Zusammenarbeit mit dem iDefense Vulnerability Contributor Program (CVE-2017-2949)
- Alex Inführ von Cure53.de (CVE-2017-2947)
- Aleksandar Nikolic von Cisco Talos (CVE-2017-2971)
- Kushal Arvind Shah und Peixue Li von Fortinet's FortiGuard Labs (CVE-2017-3010)
20. Januar 2017: Verweise auf CVE-2017-2970, CVE-2017-2971 und CVE-2017-2972 wurden hinzugefügt, die versehentlich nicht im Bulletin aufgeführt wurden.
16. Februar 2017: Die Danksagung für CVE-2017-2939, CVE-2017-2946, CVE-2017-2949, CVE-2017-2950 und CVE-2017-2959 wurde aktualisiert, die versehentlich nicht im Bulletin aufgeführt wurden.
30. März 2017: Die Danksagung für CVE-2017-3009 und CVE-2017-3010 wurde aktualisiert, die versehentlich nicht im Bulletin aufgeführt wurden.