某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te eliminują krytyczne luki w zabezpieczeniach, których odpowiednie wykorzystanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.
Firma Adobe zna raport o istnieniu mechanizmu wykorzystania luki CVE-2018-4990. Dodatkowo opublikowany został kod potwierdzający słuszność koncepcji dotyczący luki CVE-2018-4993 i jest on dostępny publicznie.
Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.
Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
- Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
- Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
użytkownika. - Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
- Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
- Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
| Produkt | Zaktualizowane wersje | Platforma | Ocena priorytetu | Dostępność |
|---|---|---|---|---|
| Acrobat DC | 2018.011.20040 |
Windows i macOS | 1 | Windows macOS |
| Acrobat Reader DC | 2018.011.20040 |
Windows i macOS | 1 | Windows macOS |
| Acrobat 2017 | 2017.011.30080 | Windows i macOS | 1 | Windows macOS |
| Acrobat Reader DC 2017 | 2017.011.30080 | Windows i macOS | 1 | Windows macOS |
| Acrobat Reader DC (Classic 2015) | 2015.006.30418 |
Windows i macOS |
1 | Windows macOS |
| Acrobat DC (Classic 2015) | 2015.006.30418 | Windows i macOS | 1 | Windows macOS |
Uwaga:
Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r. Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.
Uwaga:
Więcej informacji o zapobieganiu luce w zabezpieczeniach CVE-2018-4993 można znaleźć w tym artykule w bazie wiedzy. Dla administratorów dostępne jest dodatkowe zabezpieczenie przed luką CVE-2018-4993, którego skutkiem jest zablokowanie działań na pliku PDF powodujących otwarcie łączy, w tym GoToE, GoToR, Launch (Uruchom), Thread (Wątek), Import Data (Importuj dane), Export Form Data (Eksportuj dane formularza), Submit Form (Wyślij formularz) oraz Reset Form (Resetuj formularz). Więcej szczegółów zawiera ta dokumentacja.
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Aleksandar Nikolic z firmy Cisco Talos (CVE-2018-4996, CVE-2018-4947)
- Anton Cherepanov z firmy ESET oraz Matt Oh z firmy Microsoft (CVE-2018-4990)
- Vladislav Stolyarov z firmy Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
- Yoav Alon i Netanel Ben-Simon z firmy Check Point Software Technologies (CVE-2018-4985)
- Gal De Leon z firmy Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
- Ke Liu z zespołu Xuanwu Lab firmy Tencent (CVE-2018-4960, CVE-2018-4986)
- Anonimowe zgłoszenia w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
- WillJ z zespołu PC Manager firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
- Riusksk z zespołu Security Platform Department firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4956, CVE-2018-4957)
- Steven Seeley współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
- Ke Liu z zespołu Xuanwu Lab firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
- Sebastian Apelt współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4977)
- AbdulAziz Hariri współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
- Hui Gao z firmy Palo Alto Networks i Heige (znany też pod pseudonimem SuperHei) z zespołu Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
- Cybellum Technologies LTD (CVE-2018-4989)
- Alex z firmy Cure53 (CVE-2018-4995)
- Assaf Baharav, Yaron Fruchtmann oraz Ido Solomon z firmy Check Point Software Technologies (CVE-2018-4993)
15 maja 2018 r.: Dodano język w celu powiadomienia użytkowników, że istnieje mechanizm wykorzystania luki CVE-2018-4990 oraz że opublikowany został kod dotyczący luki CVE-2018-4985 i jest on dostępny publicznie. Dodano także pozycję CVE-2018-4995 zastępującą pozycję o numerze CVE-2018-4994, który został już przypisany innej luce w programie Adobe Connect. Ponadto dodano pozycję CVE-2018-4996 zastępującą pozycję o numerze CVE-2018-4946, który został już przypisany innej luce w programie Adobe Photoshop.
16 maja 2018 r.: Poprawiono sekcję podsumowania, zastępując numer CVE-2018-4985 numerem CVE-2018-4993. Publicznie dostępny jest kod potwierdzający słuszność koncepcji dotyczący luki CVE-2018-4993, a nie luki CVE-2018-4985.
17 maja 2018 r.: Dodano łącze do dokumentacji zawierającej opis dodatkowego zabezpieczenia przed luką CVE-2018-4993 blokującego otwieranie łączy w dokumentach PDF przez użytkowników.