Biuletyn dotyczący zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-21
ID biuletynu Data publikacji Priorytet
APSB18-21 10 lipca 2018 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą  krytycznych i ważnych luk w zabezpieczeniach.  Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma Ocena priorytetu
Acrobat DC  Rola
2018.011.20040 i starsze wersje 
Windows i macOS 2
Acrobat Reader DC Rola
2018.011.20040 i starsze wersje 
Windows i macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 i starsze wersje Windows i macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 i starsze wersje Windows i macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 i starsze wersje
Windows i macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 i starsze wersje
Windows i macOS 2

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — bez konieczności ingerencji
    użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Rola 2018.011.20055
Windows i macOS 2
Windows
macOS
Acrobat Reader DC Rola 2018.011.20055
Windows i macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows i macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows i macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows i macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows i macOS 2
Windows
macOS

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Dwukrotne zwolnienie pamięci
Wykonanie dowolnego kodu Krytyczna CVE-2018-12782
Przepełnienie sterty
Wykonanie dowolnego kodu
Krytyczna CVE-2018-5015, CVE-2018-5028, CVE-2018-5032, CVE-2018-5036, CVE-2018-5038, CVE-2018-5040, CVE-2018-5041, CVE-2018-5045, CVE-2018-5052, CVE-2018-5058, CVE-2018-5067, CVE-2018-12785, CVE-2018-12788, CVE-2018-12798
Używanie zasobu po zwolnieniu 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-5009, CVE-2018-5011, CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796, CVE-2018-12797  
Zapis poza zakresem 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-5020, CVE-2018-5021, CVE-2018-5042, CVE-2018-5059, CVE-2018-5064, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771, CVE-2018-12787
Ominięcie zabezpieczeń Podniesienie uprawnień
Krytyczna
CVE-2018-12802
Odczyt poza zakresem Ujawnienie informacji Istotna CVE-2018-5010, CVE-2018-12803, CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790, CVE-2018-12795
Błędne rozpoznanie typu Wykonanie dowolnego kodu Krytyczna CVE-2018-5057, CVE-2018-12793, CVE-2018-12794
Wyłuskanie niezaufanego wskaźnika  Wykonanie dowolnego kodu Krytyczna CVE-2018-5012, CVE-2018-5030
Błędy bufora
Wykonanie dowolnego kodu Krytyczna CVE-2018-5034, CVE-2018-5037, CVE-2018-5043, CVE-2018-12784

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Gal De Leon z firmy Palo Alto Networks (CVE-2018-5009, CVE-2018-5066)

  • Zgłoszenie anonimowe w programie Zero Day Initiative firmy Micro (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783,CVE-2018-12795, CVE-2018-12797)

  • WillJ z zespołu PC Manager firmy Tencent, współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-5058, CVE-2018-5063, CVE-2018-5065)

  • Steven Seeley w programie Zero Day Initiative firmy Trend Micro (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793, CVE-2018-12796) 

  • Ke Liu z zespołu Xuanwu LAB firmy Tencent współpracujący w programie Zero Day Initiative firmy Trend Micro (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • Sebastian Apelt współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12794)

  • Zhiyuan Wang z firmy Chengdu Qihoo360 Tech Co. Ltd. (CVE-2018-12758)

  • Lin Wang z Uniwersytetu Beihang (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787, CVE-2018-5067) 

  • Zhenjie Jia z zespołu Qihoo 360 Vulcan (CVE-2018-12757)

  • Netanel Ben Simon i Yoav Alon z firmy Check Point Software Technologies (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767. CVE-2018-12768)

  • Aleksandar Nikolic z Cisco Talos (CVE-2018-12756)

  • Vladislav Stolyarov z firmy Kaspersky Lab (CVE-2018-5011) 

  • Ke Liu z zespołu Xuanwu Lab firmy Tencent (CVE-2018-12785, CVE-2018-12786)

  • Kdot w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054, CVE-2018-5020)

  • Pengsu Cheng z firmy Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790, CVE-2018-5056)

  • Ron Waisberg współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-5062, CVE-2018-12788, CVE-2018-12789) 

  • Steven Seeley (mr_me) z firmy Source Incite współpracujący z firmą iDefense Labs (CVE-2018-12791, CVE-2018-12792, CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • XuPeng z Instytutu oprogramowania TCA/SKLCS Chińskiej Akademii Nauk oraz HuangZheng z firmy Baidu Security Lab (CVE-2018-12782)

  • Zgłoszenie anonimowe (CVE-2018-12784, CVE-2018-5009)

  • mr_me z firmy Source Incite w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12761)

  • Zhanglin He i Bo Qu z firmy Palo Alto Networks (CVE-2018-5023, CVE-2018-5024)

  • Bo Qu z firmy Palo Alto Networks i Heige z zespołu Knownsec 404 Security Team (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025, CVE-2018-5026)