Sikkerhetsbulletin for Adobe Acrobat og Reader | APSB18-30
Bulletin-ID Dato publisert Prioritet
APSB18-30 01. oktober 2018 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene løser kritiske og  viktige sikkerhetsproblemer.  Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.

Berørte versjoner

Produkt Spor Berørte versjoner Plattform Prioritet klassifisering
Acrobat DC  Kontinuerlig
2018.011.20063 og tidligere versjoner 
Windows og macOS 2
Acrobat Reader DC Kontinuerlig
2018.011.20063 og tidligere versjoner 
Windows og macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 og tidligere versjoner Windows og macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 og tidligere versjoner Windows og macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 og tidligere versjoner
Windows og macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 og tidligere versjoner
Windows og macOS 2

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Track Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Kontinuerlig 2019.008.20071
Windows og macOS 2
Windows
macOS
Acrobat Reader DC Kontinuerlig 2019.008.20071
Windows og macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows og macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows og macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows og macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows og macOS 2
Windows
macOS

Merk:

Som beskrevet i den forrige kunngjøringen ble støtte for Adobe Acrobat 11.x og Adobe Reader 11.x avsluttet 15. oktober 15, 2017.  Versjon 11.0.23 er den endelige versjonen av Adobe Acrobat 11.x og Adobe Reader 11.x. Adobe anbefaler på det sterkeste at du oppdaterer til de nyeste versjonene av Adobe Acrobat DC og Adobe Acrobat Reader DC. Ved å oppdatere installasjoner til de nyeste versjonene, kan du bruke de nyeste forbedrede funksjonene og sikkerhetstiltakene.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Skriving utenfor område 
Vilkårlig kjøring av kode
Kritisk

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Lesing utenfor område Avsløring av informasjon Viktig

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Heap-overflyt

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Use After Free

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Type konflikt

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Stakkoverflyt

Avsløring av informasjon

Viktig

CVE-2018-12838

Double Free

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-12841

Heltallsoverflyt

Avsløring av informasjon

Viktig

CVE-2018-12881,

CVE-2018-12842

Bufferfeil

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Ikke-klarert pekerdeferanse

Vilkårlig kjøring av kode

Kritisk

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Sikkerhetsomgåelse

Rettighetsutvidelse

Kritisk

CVE-2018-15966

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Anonymous via med Trend Micros Zero Day Initiative (CVE-2018-12851)
  • Zhiyuan Wang fra Chengdu Security Response Center hos Qihoo 360 Technology Co. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • willJ i samarbeid med Trend Micros Zero Day Initiative (CVE-2018-12856, CVE-2018-12855)
  • Sebastian Apelt siberas i samarbeid med Trend Micros Zero Day Initiative (CVE-2018-12858)
  • Lin Wang fra Beihang University i samarbeid med Trend Micros Zero Day Initiative (CVE-2018-12876, CVE-2018-12868)
  • Esteban Ruiz (mr_me) fra Source Incite i samarbeid med Trend Micros Zero Day Initiative (CVE-2018-12879, CVE-2018-12877)
  • Kamlapati Choubey via Trend Micros Zero Day Initiative (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Ron Waisberg via Trend Micros Zero Day Initiative (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Aleksandar Nikolic fra Cisco Talos.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Lin Wang fra Beihang University (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Gal De Leon fra Palo Alto Networks (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Zhenjie Jia fra Qihoo 360 Vulcan Team (CVE-2018-12831)
  • Hui Gao fra Palo Alto Networks og Heige (også kalt SuperHei) fra Knownsec 404 Security Team (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Bo Qu og Zhibin Zhang fra Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Qi Deng fra Palo Alto Networks og Heige (også kalt SuperHei) fra Knownsec 404 Security Team (CVE-2018-15977)
  • Esteban Ruiz (mr_me) fra Source Incite i samarbeid med iDefense Labs (CVE-2018-12835)
  • Ashfaq Ansari - Project Srishti working with iDefense Labs (CVE-2018-15968)
  • Netanel Ben-Simon og Yoav Alon fra Check Point Software Technologies (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu fra Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Wei Wei (@Danny__Wei) fra Tencents Xuanwu Lab (CVE-2018-15966)