Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Acrobat und Reader

Freigabedatum: 6. April 2017

Letzte Aktualisierung: 11. Mai 2017

Kennung der Sicherheitslücke: APSB17-11

Priorität: 2

CVE-Nummern: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC Fortlaufend 15.023.20070 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Fortlaufend 15.023.20070 und frühere Versionen
Windows und Macintosh
       
Adobe Acrobat DC Klassisch 15.006.30280 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Klassisch 15.006.30280 und frühere Versionen
Windows und Macintosh
       
Acrobat XI Nur Desktop-Applikation 11.0.19 und frühere Versionen Windows und Macintosh
Reader XI Nur Desktop-Applikation 11.0.19 und frühere Versionen Windows und Macintosh

Weitere Informationen zu Acrobat DC finden Sie auf der Seite Adobe Acrobat DC – Häufig gestellte Fragen.

Weitere Informationen zu Acrobat Reader DC finden Sie auf der Seite Adobe Acrobat Reader DC – Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM
    (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC Fortlaufend 2017.009.20044
Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader DC Fortlaufend 2017.009.20044
Windows und Macintosh 2 Download-Center
           
Adobe Acrobat DC Klassisch 2015.006.30306
Windows und Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisch 2015.006.30306 
Windows und Macintosh 2 Windows
Macintosh
           
Acrobat XI Nur Desktop-Applikation 11.0.20 Windows und Macintosh 2 Windows
Macintosh
Reader XI Nur Desktop-Applikation 11.0.20 Windows und Macintosh 2 Windows
Macintosh

Sicherheitslückendetails

  • Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines Ganzzahlüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-
    2017-3011, CVE-2017-3034).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen und zu einem Speicherleck führen können
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Diese Updates schließen Sicherheitslücken im Verzeichnissuchpfad, die verwendet werden konnten, um Ressourcen zu finden, die
    die Ausführung von Code ermöglichen (CVE-2017-3012, CVE-2017-3013).

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser
Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Nicolas Grégoire von Agarri in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li und Huinian Yang vom ART&UESTC Neklab (CVE-2017-3037)
  • Anonym gemeldet über das iDefense Vulnerability Contributor Program (VCP) (VCP) (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3040)
  • LiuBenjin vom Qihoo360 CodeSafe Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri von der Zero Day Initiative von Trend Micro und Steven Seeley (mr_me) von Offensive
    Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3042)
  • AbdulAziz Hariri von der Zero Day Initiative von Trend Micro (CVE-2017-3043)
  • Ashfaq Ansari von Project Srishti über das iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Steven Seeley (mr_me) von Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • kimyok vom Tencent Security Platform Department (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) von Offensive Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) von Offensive Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Ke Liu von Tencent's Xuanwu LAB (CVE-2017-3050)
  • Ke Liu vom Tencent Xuanwu LAB (CVE-2017-3012, CVE-2017-3015)
  • soiax in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3022)
  • Sebastian Apelt (Siberas) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu vom Tencent Xuanwu LAB in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao von Tencent PC Manager über GeekPwn (CVE-2017-3011)
  • Giwan Go von STEALIEN in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Historie

27. April 2017: Die Danksagung für CVE-2017-3050 wurde aktualisiert, die versehentlich nicht im Bulletin aufgeführt wurde.

11. Mai 2017: Die Danksagung für CVE-2017-3040 wurde aktualisiert, die versehentlich nicht im Bulletin aufgeführt wurde.