Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB17-24
|
Data publikacji |
Priorytet |
|
|---|---|---|
|
APSB17-24 |
8 sierpnia 2017 |
2 |
Podsumowanie
Zagrożone wersje
Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.
Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z
poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
- Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
- Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
użytkownika. - Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
- Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
- Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
| Produkt | Zaktualizowane wersje | Platforma | Ocena priorytetu | Dostępność |
|---|---|---|---|---|
| Acrobat DC (ścieżka Continuous) | 2017.012.20098 |
Windows i Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC (ścieżka Continuous) | 2017.012.20098 | Windows i Macintosh | 2 | Centrum pobierania |
| Acrobat 2017 | 2017.011.30066 | Windows i Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows i Macintosh | 2 | Windows Macintosh |
| Acrobat DC (ścieżka Classic) | 2015.006.30355 |
Windows i Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC (ścieżka Classic) | 2015.006.30355 |
Windows i Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows i Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows i Macintosh | 2 | Windows Macintosh |
Wersja 11.0.22 jest dostępna dla użytkowników, których dotknęło pogorszenie funkcjonalności formularzy XFA wprowadzone w wersji 11.0.21 (więcej szczegółów można znaleźć tutaj). W obu wersjach (11.0.22 i 11.0.21) usunięto wszystkie luki w zabezpieczeniach wymienione w tym biuletynie.
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Numery : CVE |
|---|---|---|---|
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3016 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3038 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3113 |
| Niewystarczająca weryfikacja autentyczności danych | Ujawnienie informacji | Istotna | CVE-2017-3115 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3116 |
| Przepełnienie sterty | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3117 |
| Ominięcie zabezpieczeń | Ujawnienie informacji | Istotna | CVE-2017-3118 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Istotna | CVE-2017-3119 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3120 |
| Przepełnienie sterty | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3121 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-3122 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3123 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-3124 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11209 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11210 |
| Przepełnienie sterty | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11211 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11212 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11214 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11216 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11217 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11218 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11219 |
| Przepełnienie sterty | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11220 |
| Błędne rozpoznanie typu | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11221 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11222 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11223 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11224 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11226 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11227 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11228 |
| Ominięcie zabezpieczeń | Zdalne wykonywanie kodu | Istotna | CVE-2017-11229 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11230 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11231 |
| Użycie pamięci po zwolnieniu (Use After Free) | Ujawnienie informacji | Istotna | CVE-2017-11232 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11233 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11234 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11235 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11236 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11237 |
| Uszkodzenie pamięci | Ujawnienie informacji | Krytyczna | CVE-2017-11238 |
| Uszkodzenie pamięci | Ujawnienie informacji | Krytyczna | CVE-2017-11239 |
| Przepełnienie sterty | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11241 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11242 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11243 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11244 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11245 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11246 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11248 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11249 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11251 |
| Uszkodzenie pamięci | Ujawnienie informacji | Krytyczna | CVE-2017-11252 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Istotna | CVE-2017-11254 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11255 |
| Użycie pamięci po zwolnieniu (Use After Free) | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11256 |
| Błędne rozpoznanie typu | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11257 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11258 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11259 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11260 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11261 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11262 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Istotna | CVE-2017-11263 |
| Uszkodzenie pamięci | Ujawnienie informacji | Istotna | CVE-2017-11265 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11267 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11268 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11269 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11270 |
| Uszkodzenie pamięci | Zdalne wykonywanie kodu | Krytyczna | CVE-2017-11271 |
Problem CVE-2017-3038 został rozwiązany w wersjach 2017.009.20044 i 2015.006.30306 (wersja z kwietnia 2017), ale poprawka nie była pełna dla wersji 11.0.20. Ta luka została całkowicie usunięta w wersji 11.0.21 (wersja z sierpnia 2017).
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Użytkownik @vftable współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic z Cisco Talos (CVE-2017-11263)
- Alex Infuhr z Cure 53 (CVE-2017-11229)
- Ashfaq Ansari z Project Srishti (CVE-2017-11221)
- Ashfaq Ansari z Project Srishti współpracujący w ramach programu iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Anonimowy użytkownik współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernando Munoz współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3115)
- Giwan Go z STEALIEN & HIT współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11228, CVE-2017-11230)
- Heige (znany również jako SuperHei) z zespołu Knwonsec 404 Team (CVE-2017-11222)
- Jaanus Kp z Clarified Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kp z Clarified Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro oraz Ashfaq Ansari - Project Srishti współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11231)
- Jihui Lu z Tencent KeenLab (CVE-2017-3119)
- Użytkownik kdot współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu z laboratorium Xuanwu LAB firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu z laboratorium Xuanwu LAB firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro oraz Steven Seeley (mr_me) z Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas pracujący w projekcie SecuriTeam Secure Disclosure firmy Beyond Security (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk z zespołu Security Platform Department firmy Tencent (CVE-2017-3016)
- Sebastian Apelt z firmy Siberas współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) z Offensive Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley pracujący w projekcie SecuriTeam Secure Disclosure firmy Beyond Security (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
Wersje
29 sierpnia 2017 r.: Zaktualizowano tabelę rozwiązań, dodając informacje o nowych aktualizacjach dostępnych od 29 sierpnia. Te aktualizacje rozwiązują problem pogorszenia funkcjonalności formularzy XFA, który wystąpił u niektórych użytkowników. W wersjach z 29 sierpnia rozwiązano także problem luki w zabezpieczeniach CVE-2017-11223.
Problem CVE-2017-11223 został pierwotnie rozwiązany w aktualizacjach z 8 sierpnia (wersje 2017.012.20093, 2017.011.30059 i 2015.006.30352), ale ze względu na pogorszenie funkcjonalności w tych wersjach udostępniono tymczasowe poprawki, które powodowały wycofanie poprawki dotyczącej problemu CVE-2017-11223. W wersjach z 29 sierpnia rozwiązano zarówno problem pogorszenia funkcjonalności, jak i problem CVE-2017-11223. Szczegółowe informacje można znaleźć w tym wpisie na blogu.
Zaloguj się na swoje konto