Biuletyn dotyczący zabezpieczeń firmy Adobe
Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB17-36
ID biuletynu Data publikacji Priorytet
APSB17-36 14 listopada 2017 r. 2

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader dla systemów Windows i Macintosh. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.

Zagrożone wersje

Produkt Zagrożone wersje Platforma
Acrobat DC (ścieżka Continuous) 2017.012.20098 i starsze wersje
Windows i Macintosh
Acrobat Reader DC (ścieżka Continuous) 2017.012.20098 i starsze wersje
Windows i Macintosh
     
Acrobat 2017 2017.011.30066 i starsze wersje Windows i Macintosh
Acrobat Reader 2017 2017.011.30066 i starsze wersje Windows i Macintosh
     
Acrobat DC (ścieżka Classic) 2015.006.30355 i starsze wersje
Windows i Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30355 i starsze wersje
Windows i Macintosh
     
Acrobat XI 11.0.22 i starsze wersje Windows i Macintosh
Reader XI 11.0.22 i starsze wersje Windows i Macintosh

Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.

Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
    użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
    w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC (ścieżka Continuous) 2018.009.20044
Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader DC (ścieżka Continuous) 2018.009.20044
Windows i Macintosh 2 Centrum pobierania
         
Acrobat 2017 2017.011.30068 Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows i Macintosh 2 Windows
Macintosh
         
Acrobat DC (ścieżka Classic) 2015.006.30392
Windows i Macintosh
2 Windows
Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30392 
Windows i Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows i Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows i Macintosh 2 Windows
Macintosh

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Dostęp niezainicjowanego wskaźnika Zdalne wykonywanie kodu
Krytyczna CVE-2017-16377
CVE-2017-16378
Użycie pamięci po zwolnieniu (Use After Free) Zdalne wykonywanie kodu
Krytyczna CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Dostęp do bufora z niepoprawną wartością długości Zdalne wykonywanie kodu Krytyczna CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Przekroczenie granicy bufora przy odczycie Zdalne wykonywanie kodu Krytyczna CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Przepełnienie/niedopełnienie bufora Zdalne wykonywanie kodu Krytyczna CVE-2017-16368
Przepełnienie sterty Zdalne wykonywanie kodu Krytyczna CVE-2017-16383
Niewłaściwe sprawdzanie poprawności indeksu tablicy Zdalne wykonywanie kodu Krytyczna

CVE-2017-16391
CVE-2017-16410

Odczyt poza zakresem Zdalne wykonywanie kodu Krytyczna CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Zapis poza zakresem Zdalne wykonywanie kodu Krytyczna CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Ominięcie zabezpieczeń Drive-by-download Istotna
CVE-2017-16361
CVE-2017-16366
Ominięcie zabezpieczeń Ujawnienie informacji Istotna CVE-2017-16369
Ominięcie zabezpieczeń Zdalne wykonywanie kodu
Krytyczna
CVE-2017-16380
Wyczerpanie miejsca w stosie Nadmierne wykorzystanie zasobów Istotna CVE-2017-16419
Błędne rozpoznanie typu Zdalne wykonywanie kodu Krytyczna CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Wyłuskanie niezaufanego wskaźnika Zdalne wykonywanie kodu Krytyczna CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) z Offensive Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic z zespołu Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) z Tencent Security Platform Department (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang z Uniwersytetu Beihang (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ z Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren z NCC Group Plc (CVE-2017-16380)
  • Gal De Leon z Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari — Project Srishti we współpracy z iDefense Labs (CVE-2017-16368)