Adobe-Sicherheitsbulletin
Sicherheits-Updates für Adobe Acrobat und Reader | APSB17-36
Bulletin-ID Veröffentlichungsdatum Priorität
APSB17-36 14. November 2017 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Betroffene Versionen

Produkt Betroffene Versionen Plattform
Acrobat DC (Continuous Track) 2017.012.20098 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 und frühere Versionen
Windows und Macintosh
     
Acrobat 2017 2017.011.30066 und frühere Versionen Windows und Macintosh
Acrobat Reader 2017 2017.011.30066 und frühere Versionen Windows und Macintosh
     
Acrobat DC (Classic Track) 2015.006.30355 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 und frühere Versionen
Windows und Macintosh
     
Acrobat XI 11.0.22 und frühere Versionen Windows und Macintosh
Reader XI 11.0.22 und frühere Versionen Windows und Macintosh

Weitere Informationen zu Acrobat DC finden Sie auf der Seite Adobe Acrobat DC – Häufig gestellte Fragen.

Weitere Informationen zu Acrobat Reader DC finden Sie auf der Seite Adobe Acrobat Reader DC – Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM
    (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC (Continuous Track) 2018.009.20044
Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20044
Windows und Macintosh 2 Download-Center
         
Acrobat 2017 2017.011.30068 Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows und Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30392
Windows und Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30392 
Windows und Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows und Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows und Macintosh 2 Windows
Macintosh

Hinweis:

Wie in dieser vorherigen Ankündigung angemerkt, endete der Support für Adobe Acrobat 11.x und Adobe Reader 11.x am 15. Oktober 2017.  Version 11.0.23 ist die letzte Version für Adobe Acrobat 11.x und Adobe Reader 11.x. Adobe empfiehlt dringend, dass Sie ein Update auf die neueste Version von Adobe Acrobat DC und Adobe Acrobat Reader DC vornehmen. Durch das Aktualisieren von Installationen auf die neueste Version profitieren Sie von den aktuellen Funktionsverbesserungen und verbesserten Sicherheitsmaßnahmen.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Zugriff des nicht initialisierten Zeigers Ausführung von externem Code
Kritisch CVE-2017-16377
CVE-2017-16378
Use After Free Ausführung von externem Code
Kritisch CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Pufferzugriff mit falschem Längenwert Ausführung von externem Code Kritisch CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Pufferüberlesen Ausführung von externem Code Kritisch CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Pufferüberlauf/-unterlauf Ausführung von externem Code Kritisch CVE-2017-16368
Heap-Überlauf Ausführung von externem Code Kritisch CVE-2017-16383
Ungültige Validierung des Arrayindex Ausführung von externem Code Kritisch

CVE-2017-16391
CVE-2017-16410

Lesevorgang außerhalb des gültigen Bereichs Ausführung von externem Code Kritisch CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Schreibvorgang außerhalb des gültigen Bereichs Ausführung von externem Code Kritisch CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Sicherheitsbypass Drive-by-Download Wichtig
CVE-2017-16361
CVE-2017-16366
Sicherheitsbypass Offenlegung von Informationen Wichtig CVE-2017-16369
Sicherheitsbypass Ausführung von externem Code
Kritisch
CVE-2017-16380
Stapelauslastung Exzessiver Ressourcenverbrauch Wichtig CVE-2017-16419
Typverwechslung Ausführung von externem Code Kritisch CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Nicht vertrauenswürdige Zeiger-Dereferenzierung Ausführung von externem Code Kritisch CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser
Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu von Tencent's Xuanwu LAB in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu von Tencent’s Xuanwu LAB (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) von Offensive Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic von Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) vom Tencent Security Platform Department (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang von der Beihang-Universität (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ von Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren von NCC Group Plc (CVE-2017-16380)
  • Gal De Leon von Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari - Project Srishti in Zusammenarbeit mit iDefense Labs (CVE-2017-16368)