Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader

Utgivelsesdato: 6. april 2017

Sist oppdatert: 11. mai 2017

Sikkerhetsbruddidentifikator: APSB17-11

Prioritet: 2

CVE-numre: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC Kontinuerlig 15.023.20070 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Kontinuerlig 15.023.20070 og tidligere versjoner
Windows og Macintosh
       
Acrobat DC Klassisk 15.006.30280 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Klassisk 15.006.30280 og tidligere versjoner
Windows og Macintosh
       
Acrobat XI Datamaskin 11.0.19 og tidligere versjoner Windows og Macintosh
Reader XI Datamaskin 11.0.19 og tidligere versjoner Windows og Macintosh

Hvis du vil ha mer informasjon om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du vil ha mer informasjon om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge
instruksjonene nedenfor:
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer
    oppdages, uten at det krever brukermedvirkning.
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Track Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Kontinuerlig 2017.009.20044
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC Kontinuerlig 2017.009.20044
Windows og Macintosh 2 Nedlastingssenter
           
Acrobat DC Klassisk 2015.006.30306
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisk 2015.006.30306 
Windows og Macintosh 2 Windows
Macintosh
           
Acrobat XI Datamaskin 11.0.20 Windows og Macintosh 2 Windows
Macintosh
Reader XI Datamaskin 11.0.20 Windows og Macintosh 2 Windows
Macintosh

Mer informasjon om sikkerhetsproblemet

  • Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Disse oppdateringene løser sikkerhetsproblemer med heap-bufferoverflyt som kan føre til kjøring av kode
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Disse oppdateringene løser et problem med heltallsoverflyt som kan føre til kjøring av kode (CVE-
    2017-3011, CVE-2017-3034).
  • Disse oppdateringene løser et  kritisk sikkerhetsproblemer med minnelekkasje
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Disse oppdateringene løser sikkerhetsproblemer i mappesøkebanen som brukes til å finne ressurser, som kan føre til kjøring av kode
    (CVE-2017-3012, CVE-2017-3013).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse
sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Nicolas Gregoire - Agarri i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li og Huinian Yang fra ART&UESTC's Neklab (CVE-2017-3037)
  • Rapportert anonymt via iDefense Vulnerability Contributor Program (VCP) (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3040)
  • LiuBenjin fra Qihoo360 CodeSafe Team i samarbeid med Trend Micros Zero Day Initiative(CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri fra Trend Micros Zero Day Initiative og Steven Seeley (mr_me) fra Offensive
    Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3042)
  • AbdulAziz Hariri fra Trend Micros Zero Day Initiative (CVE-2017-3043)
  • Ashfaq Ansari - Project Srishti via iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Steven Seeley (mr_me) fra Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • kimyok fra Tencent Security Platform Department (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) fra Offensive Security i samarbeid med Trend Micros Zero Day Initiative
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) fra Offensive Security i samarbeid med Trend Micros Zero Day Initiative og Ke Liu fra Tencents Xuanwu LAB (CVE-2017-3050)
  • Ke Liu fra Tencents Xuanwu LAB (CVE-2017-3012, CVE-2017-3015)
  • soiax i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3022)
  • Sebastian Apelt (Siberas) i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao fra Tencent PC Manager via GeekPwn (CVE-2017-3011)
  • Giwan Go fra STEALIEN i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Revisjoner

27. april 2017: Oppdatert anerkjennelser for CVE-2017-3050 som utilsiktet ble utelatt fra bulletinen.

11. mai 2017: Oppdatert anerkjennelser for CVE-2017-3040 som utilsiktet ble utelatt fra bulletinen.