Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-09
ID biuletynu Data publikacji Priorytet
APSB18-09 14 maja 2018 r. 1

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te eliminują krytyczne luki w zabezpieczeniach, których odpowiednie wykorzystanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.

Firma Adobe zna raport o istnieniu mechanizmu wykorzystania luki CVE-2018-4990.  Dodatkowo opublikowany został kod potwierdzający słuszność koncepcji dotyczący luki CVE-2018-4993 i jest on dostępny publicznie.

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Użytkownicy indywidualni 2018.011.20038 i starsze wersje 
Windows i macOS
Acrobat Reader DC  Użytkownicy indywidualni 2018.011.20038 i starsze wersje 
Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30079 i starsze wersje Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30079 i starsze wersje Windows i macOS
       
Acrobat DC  Classic 2015 2015.006.30417 i starsze wersje
Windows i macOS
Acrobat Reader DC  Classic 2015 2015.006.30417 i starsze wersje
Windows i macOS

Więcej informacji na temat programu Acrobat DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat DC.

Więcej informacji na temat programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania dotyczące programu Adobe Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
    użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM
    w systemie Windows bądź Apple Remote Desktop i SSH w systemie Macintosh.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC 2018.011.20040
Windows i macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows i macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows i macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows i macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows i macOS
1 Windows
macOS
Acrobat DC (Classic 2015) 2015.006.30418 Windows i macOS 1 Windows
macOS

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Dwukrotne zwolnienie pamięci
Wykonanie dowolnego kodu Krytyczna CVE-2018-4990
Przepełnienie sterty
Wykonanie dowolnego kodu
Krytyczna

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Używanie zasobu po zwolnieniu 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Zapis poza zakresem 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-4950 
Ominięcie zabezpieczeń Ujawnienie informacji Istotna CVE-2018-4979
Odczyt poza zakresem Ujawnienie informacji Istotna CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Błędne rozpoznanie typu Wykonanie dowolnego kodu Krytyczna CVE-2018-4953
Wyłuskanie niezaufanego wskaźnika  Wykonanie dowolnego kodu Krytyczna CVE-2018-4987
Uszkodzenie pamięci Ujawnienie informacji Istotna CVE-2018-4965
Kradzież skrótu rejestracji jednokrotnej NTLM Ujawnienie informacji Istotna CVE-2018-4993
Wstawianie nowego wiersza metody HTTP POST za pośrednictwem żądania przesłania XFA Ominięcie zabezpieczeń Istotna CVE-2018-4995

Uwaga:

Więcej informacji o zapobieganiu luce w zabezpieczeniach CVE-2018-4993 można znaleźć w tym artykule w bazie wiedzy.  Dla administratorów dostępne jest dodatkowe zabezpieczenie przed luką CVE-2018-4993, którego skutkiem jest zablokowanie działań na pliku PDF powodujących otwarcie łączy, w tym GoToE, GoToR, Launch (Uruchom), Thread (Wątek), Import Data (Importuj dane), Export Form Data (Eksportuj dane formularza), Submit Form (Wyślij formularz) oraz Reset Form (Resetuj formularz). Więcej szczegółów zawiera ta dokumentacja.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie
luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Aleksandar Nikolic z firmy Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov z firmy ESET oraz Matt Oh z firmy Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov z firmy Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon i Netanel Ben-Simon z firmy Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon z firmy Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
  • Ke Liu z zespołu Xuanwu Lab firmy Tencent (CVE-2018-4960, CVE-2018-4986)
  • Anonimowe zgłoszenia w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ z zespołu PC Manager firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk z zespołu Security Platform Department firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu z zespołu Xuanwu Lab firmy Tencent współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4977)
  • AbdulAziz Hariri współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao z firmy Palo Alto Networks i Heige (znany też pod pseudonimem SuperHei) z zespołu Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex z firmy Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann oraz Ido Solomon z firmy Check Point Software Technologies (CVE-2018-4993)

Wersje

15 maja 2018 r.: Dodano język w celu powiadomienia użytkowników, że istnieje mechanizm wykorzystania luki CVE-2018-4990 oraz że opublikowany został kod dotyczący luki CVE-2018-4985 i jest on dostępny publicznie. Dodano także pozycję CVE-2018-4995 zastępującą pozycję o numerze CVE-2018-4994, który został już przypisany innej luce w programie Adobe Connect. Ponadto dodano pozycję CVE-2018-4996 zastępującą pozycję o numerze CVE-2018-4946, który został już przypisany innej luce w programie Adobe Photoshop.

16 maja 2018 r.: Poprawiono sekcję podsumowania, zastępując numer CVE-2018-4985 numerem CVE-2018-4993.  Publicznie dostępny jest kod potwierdzający słuszność koncepcji dotyczący luki CVE-2018-4993, a nie luki CVE-2018-4985.

17 maja 2018 r.: Dodano łącze do dokumentacji zawierającej opis dodatkowego zabezpieczenia przed luką CVE-2018-4993 blokującego otwieranie łączy w dokumentach PDF przez użytkowników.