Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB17-24
|
Dato publisert |
Prioritet |
|
|---|---|---|
|
APSB17-24 |
8. august 2017 |
2 |
Sammendrag
Berørte versjoner
Hvis du vil ha mer informasjon om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.
Hvis du vil ha mer informasjon om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.
Løsning
Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge
instruksjonene nedenfor:
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:
- Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
- Produktene vil oppdateres automatisk når oppdateringer
oppdages, uten at det krever brukermedvirkning. - Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.
For IT-administratorer (administrerte miljøer):
- Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
- Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
(Windows) eller på Macintosh, Apple Remote Desktop og SSH.
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
| Produkt | Oppdaterte versjoner | Plattform | Prioritet Klassifisering | Tilgjengelighet |
|---|---|---|---|---|
| Acrobat DC (Continuous) | 2017.012.20098 |
Windows og Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC (Continuous) | 2017.012.20098 | Windows og Macintosh | 2 | Nedlastingssenter |
| Acrobat 2017 | 2017.011.30066 | Windows og Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows og Macintosh | 2 | Windows Macintosh |
| Acrobat DC (Classic) | 2015.006.30355 |
Windows og Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC (Classic) | 2015.006.30355 |
Windows og Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows og Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows og Macintosh | 2 | Windows Macintosh |
Versjon 11.0.22 er tilgjengelig for brukere som er berørt av den funksjonelle regresjonen i XFA-skjemaer introdusert i 11.0.21 (se her for mer informasjon). Både 11.0.22 og 11.0.21 løser alle sikkerhetsproblemer som refereres i denne bulletinen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | CVE-numre |
|---|---|---|---|
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-3016 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-3038 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-3113 |
| Utilstrekkelig verifisering av dataautentisitet. | Avsløring av informasjon | Viktig | CVE-2017-3115 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-3116 |
| Heap-overflyt | Ekstern kjøring av kode | Kritisk | CVE-2017-3117 |
| Sikkerhetsomgåelse | Avsløring av informasjon | Viktig | CVE-2017-3118 |
| Minneødeleggelse | Ekstern kjøring av kode | Viktig | CVE-2017-3119 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-3120 |
| Heap-overflyt | Ekstern kjøring av kode | Kritisk | CVE-2017-3121 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-3122 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-3123 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-3124 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11209 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11210 |
| Heap-overflyt | Ekstern kjøring av kode | Kritisk | CVE-2017-11211 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11212 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11214 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11216 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11217 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11218 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11219 |
| Heap-overflyt | Ekstern kjøring av kode | Kritisk | CVE-2017-11220 |
| Type konflikt | Ekstern kjøring av kode | Kritisk | CVE-2017-11221 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11222 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11223 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11224 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11226 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11227 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11228 |
| Sikkerhetsomgåelse | Ekstern kjøring av kode | Viktig | CVE-2017-11229 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11230 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11231 |
| Use After Free | Avsløring av informasjon | Viktig | CVE-2017-11232 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11233 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11234 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11235 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11236 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11237 |
| Minneødeleggelse | Avsløring av informasjon | Kritisk | CVE-2017-11238 |
| Minneødeleggelse | Avsløring av informasjon | Kritisk | CVE-2017-11239 |
| Heap-overflyt | Ekstern kjøring av kode | Kritisk | CVE-2017-11241 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11242 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11243 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11244 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11245 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11246 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11248 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11249 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11251 |
| Minneødeleggelse | Avsløring av informasjon | Kritisk | CVE-2017-11252 |
| Use After Free | Ekstern kjøring av kode | Viktig | CVE-2017-11254 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11255 |
| Use After Free | Ekstern kjøring av kode | Kritisk | CVE-2017-11256 |
| Type konflikt | Ekstern kjøring av kode | Kritisk | CVE-2017-11257 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11258 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11259 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11260 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11261 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11262 |
| Minneødeleggelse | Ekstern kjøring av kode | Viktig | CVE-2017-11263 |
| Minneødeleggelse | Avsløring av informasjon | Viktig | CVE-2017-11265 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11267 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11268 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11269 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11270 |
| Minneødeleggelse | Ekstern kjøring av kode | Kritisk | CVE-2017-11271 |
CVE-2017-3038 ble løst i 2017.009.20044 og 2015.006.30306 (april 2017), men reparasjonen var ufullstendig for versjon 11.0.20. Dette sikkerhetsproblemet er nå fullstendig løst i versjon 11.0.21 (utgivelse august 2017).
Takk
Adobe takker følgende personer og firmaer for at de rapporterte disse
sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- @vftable i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic fra Cisco Talos (CVE-2017-11263)
- Alex Infuhr fra Cure 53 (CVE-2017-11229)
- Ashfaq Ansari fra Project Srishti (CVE-2017-11221)
- Ashfaq Ansari fra Project Srishti i samarbeid med iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Rapportert anonymt via Trend Micros Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernando Munoz i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3115)
- Giwan Go fra STEALIEN & HIT i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
- Heige (a.k.a. SuperHei) hos Knwonsec 404 Team (CVE-2017-11222)
- Jaanus Kp Clarified Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kp Clarified Security i samarbeid med Trend Micros Zero Day Initiative og Ashfaq Ansari - Project Srishti i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11231)
- Jihui Lu fra Tencent KeenLab (CVE-2017-3119)
- kdot i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative og Steven Seeley (mr_me) fra Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas i samarbeid med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk fra Tencent Security Platform Department (CVE-2017-3016)
- Sebastian Apelt siberas i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) fra Offensive Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley i samarbeid med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
Revisjoner
29. august 2017: Løsning-tabellen er oppdatert for å gjenspeile nye oppdateringer tilgjengelig fra og med 29. august. Disse oppdateringene løser en funksjonell regresjon i funksjonaliteten til XFA-skjemaer som berører enkelte brukere. Versjonen fra 29. august løser også sikkerhetsproblemet CVE-2017-11223.
CVE-2017-11223 ble opprinnelig løst i oppdateringene 8. august (versjon 2017.012.20093, 2017.011.30059 og 2015.006.30352), men på grunn av en funksjonell regresjon i disse versjonene, ble det tilbudt midlertidige hurtigreparasjoner som tilbakestilte reparasjonen for CVE-2017-11223. Versjonen fra 29. august løser regresjonen og inneholder en reparasjon for CVE-2017-11223. Se dette blogginnlegget for mer informasjon.
