Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB17-24
ID biuletynu Data publikacji Priorytet
APSB17-24 8 sierpnia 2017 2

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader dla systemów Windows i Macintosh. Te aktualizacje usuwają krytyczne i istotne luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.

Zagrożone wersje

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania. Firma Adobe przydzieli tym aktualizacjom następujące priorytety:

Produkt Zagrożone wersje Platforma
Acrobat DC (ścieżka Continuous) 2017.009.20058 i starsze wersje
Windows i Macintosh
Acrobat Reader DC (ścieżka Continuous) 2017.009.20058 i starsze wersje
Windows i Macintosh
     
Acrobat 2017 2017.008.30051 i starsze wersje Windows i Macintosh
Acrobat Reader 2017 2017.008.30051 i starsze wersje Windows i Macintosh
     
Acrobat DC (ścieżka Classic) 2015.006.30306 i starsze wersje
Windows i Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30306 i starsze wersje
Windows i Macintosh
     
Acrobat XI 11.0.20 i starsze wersje Windows i Macintosh
Reader XI 11.0.20 i starsze wersje Windows i Macintosh

Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.

Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z
poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
    użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
    w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC (ścieżka Continuous) 2017.012.20098
Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader DC (ścieżka Continuous) 2017.012.20098 Windows i Macintosh 2 Centrum pobierania
         
Acrobat 2017 2017.011.30066 Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows i Macintosh 2 Windows
Macintosh
         
Acrobat DC (ścieżka Classic) 2015.006.30355
Windows i Macintosh
2 Windows
Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30355 
Windows i Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows i Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows i Macintosh 2 Windows
Macintosh

Uwaga:

Wersja 11.0.22 jest dostępna dla użytkowników, których dotknęło pogorszenie funkcjonalności formularzy XFA wprowadzone w wersji 11.0.21 (więcej szczegółów można znaleźć tutaj).  W obu wersjach (11.0.22 i 11.0.21) usunięto wszystkie luki w zabezpieczeniach wymienione w tym biuletynie.    

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Numery : CVE
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-3016
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-3038
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-3113
Niewystarczająca weryfikacja autentyczności danych Ujawnienie informacji Istotna CVE-2017-3115
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-3116
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-3117
Ominięcie zabezpieczeń Ujawnienie informacji Istotna CVE-2017-3118
Uszkodzenie pamięci Zdalne wykonywanie kodu Istotna CVE-2017-3119
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-3120
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-3121
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-3122
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-3123
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-3124
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11209
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11210
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-11211
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11212
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11214
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11216
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11217
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11218
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11219
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-11220
Błędne rozpoznanie typu Zdalne wykonywanie kodu Krytyczna CVE-2017-11221
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11222
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11223
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11224
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11226
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11227
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11228
Ominięcie zabezpieczeń Zdalne wykonywanie kodu Istotna CVE-2017-11229
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11230
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11231
Użycie pamięci po zwolnieniu (Use After Free) Ujawnienie informacji Istotna CVE-2017-11232
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11233
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11234
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11235
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11236
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11237
Uszkodzenie pamięci Ujawnienie informacji Krytyczna CVE-2017-11238
Uszkodzenie pamięci Ujawnienie informacji Krytyczna CVE-2017-11239
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-11241
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11242
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11243
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11244
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11245
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11246
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11248
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11249
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11251
Uszkodzenie pamięci Ujawnienie informacji Krytyczna CVE-2017-11252
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Istotna CVE-2017-11254
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11255
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu Krytyczna CVE-2017-11256
Błędne rozpoznanie typu Zdalne wykonywanie kodu Krytyczna CVE-2017-11257
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11258
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11259
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11260
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11261
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11262
Uszkodzenie pamięci Zdalne wykonywanie kodu Istotna CVE-2017-11263
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2017-11265
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11267
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11268
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11269
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11270
Uszkodzenie pamięci Zdalne wykonywanie kodu Krytyczna CVE-2017-11271

Uwaga:

Problem CVE-2017-3038 został rozwiązany w wersjach 2017.009.20044 i 2015.006.30306 (wersja z kwietnia 2017), ale poprawka nie była pełna dla wersji 11.0.20.  Ta luka została całkowicie usunięta w wersji 11.0.21 (wersja z sierpnia 2017).

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Użytkownik @vftable współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic z Cisco Talos (CVE-2017-11263)
  • Alex Infuhr z Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari z Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari z Project Srishti współpracujący w ramach programu iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Anonimowy użytkownik współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3115)
  • Giwan Go z STEALIEN & HIT współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11228, CVE-2017-11230)
  • Heige (alias SuperHei) (CVE-2017-11222)
  • Jaanus Kp z Clarified Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp z Clarified Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro oraz Ashfaq Ansari - Project Srishti współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11231)
  • Jihui Lu z Tencent KeenLab (CVE-2017-3119)
  • Użytkownik kdot współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro oraz Steven Seeley (mr_me) z Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas pracujący w projekcie SecuriTeam Secure Disclosure firmy Beyond Security (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk z zespołu Security Platform Department firmy Tencent (CVE-2017-3016)
  • Sebastian Apelt z firmy Siberas współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) z Offensive Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley pracujący w projekcie SecuriTeam Secure Disclosure firmy Beyond Security (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Wersje

29 sierpnia 2017 r.: Zaktualizowano tabelę rozwiązań, dodając informacje o nowych aktualizacjach dostępnych od 29 sierpnia.  Te aktualizacje rozwiązują problem pogorszenia funkcjonalności formularzy XFA, który wystąpił u niektórych użytkowników.  W wersjach z 29 sierpnia rozwiązano także problem luki w zabezpieczeniach CVE-2017-11223.  

Problem CVE-2017-11223 został pierwotnie rozwiązany w aktualizacjach z 8 sierpnia (wersje 2017.012.20093, 2017.011.30059 i 2015.006.30352), ale ze względu na pogorszenie funkcjonalności w tych wersjach udostępniono tymczasowe poprawki, które powodowały wycofanie poprawki dotyczącej problemu CVE-2017-11223. W wersjach z 29 sierpnia rozwiązano zarówno problem pogorszenia funkcjonalności, jak i problem CVE-2017-11223. Szczegółowe informacje można znaleźć w tym wpisie na blogu.