Adobe – sikkerhetsbulletin
Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader | APSB17-36
Bulletin-ID Dato publisert Prioritet
APSB17-36 tirsdag 14. november 2017 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Produkt Berørte versjoner Plattform
Acrobat DC (Continuous) 2017.012.20098 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC (Continuous) 2017.012.20098 og tidligere versjoner
Windows og Macintosh
     
Acrobat 2017 2017.011.30066 og tidligere versjoner Windows og Macintosh
Acrobat Reader 2017 2017.011.30066 og tidligere versjoner Windows og Macintosh
     
Acrobat DC (Classic) 2015.006.30355 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC (Classic) 2015.006.30355 og tidligere versjoner
Windows og Macintosh
     
Acrobat XI 11.0.22 og tidligere versjoner Windows og Macintosh
Reader XI 11.0.22 og tidligere versjoner Windows og Macintosh

Hvis du vil ha mer informasjon om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du vil ha mer informasjon om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor:
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer
    oppdages, uten at det krever brukermedvirkning.
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC (Continuous) 2018.009.20044
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous) 2018.009.20044
Windows og Macintosh 2 Nedlastingssenter
         
Acrobat 2017 2017.011.30068 Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows og Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic) 2015.006.30392
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic) 2015.006.30392 
Windows og Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows og Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows og Macintosh 2 Windows
Macintosh

Merk:

Som beskrevet i den forrige kunngjøringen ble støtte for Adobe Acrobat 11.x og Adobe Reader 11.x avsluttet 15. oktober 15, 2017.  Versjon 11.0.23 er den endelige versjonen av Adobe Acrobat 11.x og Adobe Reader 11.x. Adobe anbefaler på det sterkeste at du oppdaterer til de nyeste versjonene av Adobe Acrobat DC og Adobe Acrobat Reader DC. Ved å oppdatere installasjoner til de nyeste versjonene, kan du bruke de nyeste forbedrede funksjonene og sikkerhetstiltakene.

Mer informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Tilgang til ikke-initialisert peker Ekstern kjøring av kode
Kritisk CVE-2017-16377
CVE-2017-16378
Use After Free Ekstern kjøring av kode
Kritisk CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Buffertilgang med feil lengdeverdi Ekstern kjøring av kode Kritisk CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Bufferoverlesing Ekstern kjøring av kode Kritisk CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Bufferoverflyt/-underflyt Ekstern kjøring av kode Kritisk CVE-2017-16368
Heap-overflyt Ekstern kjøring av kode Kritisk CVE-2017-16383
Feil validering av matriseindeks Ekstern kjøring av kode Kritisk

CVE-2017-16391
CVE-2017-16410

Lesing utenfor område Ekstern kjøring av kode Kritisk CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Skriving utenfor område Ekstern kjøring av kode Kritisk CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Sikkerhetsomgåelse Drive-by-nedlasting Viktig
CVE-2017-16361
CVE-2017-16366
Sikkerhetsomgåelse Avsløring av informasjon Viktig CVE-2017-16369
Sikkerhetsomgåelse Ekstern kjøring av kode
Kritisk
CVE-2017-16380
Stakktømming Overdreven ressursbruk Viktig CVE-2017-16419
Typekonflikt Ekstern kjøring av kode Kritisk CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Ikke-klarert pekerdeferanse Ekstern kjøring av kode Kritisk CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse
sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu fra Tencents Xuanwu LAB i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu fra Tencents Xuanwu LAB (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) fra Offensive Security i samarbeid med Trend Micros Zero Day Initiative (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic fra Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) fra Tencent Security Platform Department (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang fra Beihang University (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ fra Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren fra NCC Group Plc (CVE-2017-16380)
  • Gal De Leon fra Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari - Project Srishti working with iDefense Labs (CVE-2017-16368)