Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-02
ID biuletynu Data publikacji Priorytet
APSB18-02 13 lutego 2018 r. 2

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader dla systemów Windows i Macintosh. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach, mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. 

Zagrożone wersje

Produkt Zagrożone wersje Platforma
Acrobat DC (ścieżka Continuous) 2018.009.20050 i starsze wersje 
Windows i Macintosh
Acrobat Reader DC (ścieżka Continuous) 2018.009.20050 i starsze wersje 
Windows i Macintosh
     
Acrobat 2017 2017.011.30070 i starsze wersje Windows i Macintosh
Acrobat Reader 2017 2017.011.30070 i starsze wersje Windows i Macintosh
     
Acrobat DC (ścieżka Classic) 2015.006.30394 i starsze wersje
Windows i Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30394 i starsze wersje
Windows i Macintosh

Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.

Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
    użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
    w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC (ścieżka Continuous) 2018.011.20035
Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader DC (ścieżka Continuous) 2018.011.20035
Windows i Macintosh 2 Centrum pobierania
         
Acrobat 2017 2017.011.30078 Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows i Macintosh 2 Windows
Macintosh
         
Acrobat DC (ścieżka Classic) 2015.006.30413
Windows
2 Windows
Acrobat DC (ścieżka Classic) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (ścieżka Classic) 2015.006.30413
Windows 2 Centrum pobierania
Acrobat Reader DC (ścieżka Classic) 2015.006.30416 Macintosh 2 Centrum pobierania

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Obejście zabezpieczeń
Podniesienie uprawnień
Krytyczna CVE-2018-4872
Przepełnienie sterty
Wykonanie dowolnego kodu
Krytyczna

CVE-2018-4890, CVE-2018-4904, CVE-2018-4910, CVE-2018-4917 

Używanie zasobu po zwolnieniu 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-4888, CVE-2018-4892, CVE-2018-4902, CVE-2018-4911, CVE-2018-4913 
Zapis poza zakresem 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-4879, CVE-2018-4895, CVE-2018-4898, CVE-2018-4901, CVE-2018-4915, CVE-2018-4916, CVE-2018-4918 
Odczyt poza zakresem
Zdalne wykonywanie kodu Istotna CVE-2018-4880, CVE-2018-4881, CVE-2018-4882, CVE-2018-4883, CVE-2018-4884, CVE-2018-4885, CVE-2018-4886, CVE-2018-4887, CVE-2018-4889, CVE-2018-4891, CVE-2018-4893, CVE-2018-4894, CVE-2018-4896, CVE-2018-4897, CVE-2018-4899, CVE-2018-4900, CVE-2018-4903, CVE-2018-4905, CVE-2018-4906, CVE-2018-4907, CVE-2018-4908, CVE-2018-4909, CVE-2018-4912, CVE-2018-4914 

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Aleksandar Nikolic z Cisco Talos (CVE-2018-4901) 
  • Zgłoszenie anonimowe w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4915, CVE-2018-4913, CVE-2018-4911, CVE-2018-4910) 
  • Gal De Leon (CVE-2018-4900) 
  • Jaanus Kääp z Clarified Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4892, CVE-2018-4882)
  • Ke Liu z laboratorium Xuanwu firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4905, CVE-2018-4904, CVE-2018-4891, CVE-2018-4890, CVE-2018-4889, CVE-2018-4887, CVE-2018-4886, CVE-2018-4885, CVE-2018-4883, CVE-2018-4884) 
  • Ke Liu z laboratorium Xuanwu firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro oraz willJ z zespołu PC Manager firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4903)
  • Ke Liu z laboratorium Xuanwu firmy Tencent (CVE-2018-4906, CVE-2018-4917, CVE-2018-4918) 
  • Lin Wang z Uniwersytetu Pekińskiego (CVE-2018-4879, CVE-2018-4899, CVE-2018-4896, CVE-2018-4895, CVE-2018-4893) 
  • Lin Wang z Uniwersytetu Pekińskiego i willJ z zespołu PC Manager firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4898)
  • Lin Wang z Uniwersytetu Pekińskiego i Steven Seeley z firmy Source Incite współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4894)
  • riusksk z zespołu Security Platform Department firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4916, CVE-2018-4881, CVE-2018-4880)
  • riusksk z zespołu Security Platform Department firmy Tencent (CVE-2018-4908)
  • Sebastian Apelt (siberas) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4888)
  • willJ z zespołu PC Manager firmy Tencent (CVE-2018-4897, CVE-2018-4907)
  • willJ z zespołu PC Manager firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4914, CVE-2018-4912, CVE-2018-4909)
  • XuPeng i HuangZheng z Laboratorium ds. Bezpieczeństwa firmy Baidu (CVE-2018-4902) 

Wersje

14 lutego 2018: Zaktualizowano tabelę podziękować.