Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB17-24
Bulletin-ID Dato publisert Prioritet
APSB17-24 8. august 2017 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske og viktige sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Disse oppdateringene løser alvorlige sikkerhetsproblemer i programvaren. Adobe vil tildele følgende prioritetsklassifiseringer til disse oppdateringene:

Produkt Berørte versjoner Plattform
Acrobat DC (Continuous) 2017.009.20058 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC (Continuous) 2017.009.20058 og tidligere versjoner
Windows og Macintosh
     
Acrobat 2017 2017.008.30051 og tidligere versjoner Windows og Macintosh
Acrobat Reader 2017 2017.008.30051 og tidligere versjoner Windows og Macintosh
     
Acrobat DC (Classic) 2015.006.30306 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC (Classic) 2015.006.30306 og tidligere versjoner
Windows og Macintosh
     
Acrobat XI 11.0.20 og tidligere versjoner Windows og Macintosh
Reader XI 11.0.20 og tidligere versjoner Windows og Macintosh

Hvis du vil ha mer informasjon om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du vil ha mer informasjon om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge
instruksjonene nedenfor:
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer
    oppdages, uten at det krever brukermedvirkning.
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC (Continuous) 2017.012.20098
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous) 2017.012.20098 Windows og Macintosh 2 Nedlastingssenter
         
Acrobat 2017 2017.011.30066 Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows og Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic) 2015.006.30355
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic) 2015.006.30355 
Windows og Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows og Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows og Macintosh 2 Windows
Macintosh

Merk:

Versjon 11.0.22 er tilgjengelig for brukere som er berørt av den funksjonelle regresjonen i XFA-skjemaer introdusert i 11.0.21 (se her for mer informasjon).  Både 11.0.22 og 11.0.21 løser alle sikkerhetsproblemer som refereres i denne bulletinen.

Mer informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-numre
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-3016
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-3038
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-3113
Utilstrekkelig verifisering av dataautentisitet. Avsløring av informasjon Viktig CVE-2017-3115
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-3116
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-3117
Sikkerhetsomgåelse Avsløring av informasjon Viktig CVE-2017-3118
Minneødeleggelse Ekstern kjøring av kode Viktig CVE-2017-3119
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-3120
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-3121
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-3122
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-3123
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-3124
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11209
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11210
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-11211
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11212
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11214
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11216
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11217
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11218
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11219
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-11220
Type konflikt Ekstern kjøring av kode Kritisk CVE-2017-11221
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11222
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11223
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11224
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11226
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11227
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11228
Sikkerhetsomgåelse Ekstern kjøring av kode Viktig CVE-2017-11229
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11230
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11231
Use After Free Avsløring av informasjon Viktig CVE-2017-11232
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11233
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11234
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11235
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11236
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11237
Minneødeleggelse Avsløring av informasjon Kritisk CVE-2017-11238
Minneødeleggelse Avsløring av informasjon Kritisk CVE-2017-11239
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-11241
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11242
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11243
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11244
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11245
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11246
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11248
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11249
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11251
Minneødeleggelse Avsløring av informasjon Kritisk CVE-2017-11252
Use After Free Ekstern kjøring av kode Viktig CVE-2017-11254
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11255
Use After Free Ekstern kjøring av kode Kritisk CVE-2017-11256
Type konflikt Ekstern kjøring av kode Kritisk CVE-2017-11257
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11258
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11259
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11260
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11261
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11262
Minneødeleggelse Ekstern kjøring av kode Viktig CVE-2017-11263
Minneødeleggelse Avsløring av informasjon Viktig CVE-2017-11265
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11267
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11268
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11269
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11270
Minneødeleggelse Ekstern kjøring av kode Kritisk CVE-2017-11271

Merk:

CVE-2017-3038 ble løst i 2017.009.20044 og 2015.006.30306 (april 2017), men reparasjonen var ufullstendig for versjon 11.0.20.  Dette sikkerhetsproblemet er nå fullstendig løst i versjon 11.0.21 (utgivelse august 2017).  

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse
sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • @vftable i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic fra Cisco Talos (CVE-2017-11263)
  • Alex Infuhr fra Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari fra Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari fra Project Srishti i samarbeid med iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Rapportert anonymt via Trend Micros Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3115)
  • Giwan Go fra STEALIEN & HIT i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
  • Heige (også kalt SuperHei) (CVE-2017-11222)
  • Jaanus Kp Clarified Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp Clarified Security i samarbeid med Trend Micros Zero Day Initiative og Ashfaq Ansari - Project Srishti i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11231)
  • Jihui Lu fra Tencent KeenLab (CVE-2017-3119)
  • kdot i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative og Steven Seeley (mr_me) fra Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas i samarbeid med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk fra Tencent Security Platform Department (CVE-2017-3016)
  • Sebastian Apelt siberas i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) fra Offensive Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley i samarbeid med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Revisjoner

29. august 2017: Løsning-tabellen er oppdatert for å gjenspeile nye oppdateringer tilgjengelig fra og med 29. august.  Disse oppdateringene løser en funksjonell regresjon i funksjonaliteten til XFA-skjemaer som berører enkelte brukere.  Versjonen fra 29. august løser også sikkerhetsproblemet CVE-2017-11223.  

CVE-2017-11223 ble opprinnelig løst i oppdateringene 8. august (versjon 2017.012.20093, 2017.011.30059 og 2015.006.30352), men på grunn av en funksjonell regresjon i disse versjonene, ble det tilbudt midlertidige hurtigreparasjoner som tilbakestilte reparasjonen for CVE-2017-11223. Versjonen fra 29. august løser regresjonen og inneholder en reparasjon for CVE-2017-11223. Se dette blogginnlegget for mer informasjon.