Biuletyn dotyczący zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-30
ID biuletynu Data publikacji Priorytet
APSB18-30 1 października 2018 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach.  Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma Ocena priorytetu
Acrobat DC  Rola
2018.011.20063 i starsze wersje 
Windows i macOS 2
Acrobat Reader DC Rola
2018.011.20063 i starsze wersje 
Windows i macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 i starsze wersje Windows i macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 i starsze wersje Windows i macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 i starsze wersje
Windows i macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 i starsze wersje
Windows i macOS 2

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Rola 2019.008.20071
Windows i macOS 2
Windows
macOS
Acrobat Reader DC Rola 2019.008.20071
Windows i macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows i macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows i macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows i macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows i macOS 2
Windows
macOS

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Zapis poza zakresem 
Wykonanie dowolnego kodu
Krytyczna

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Odczyt poza zakresem Ujawnienie informacji Istotna

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Przepełnienie sterty

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Użycie pamięci po zwolnieniu (Use After Free)

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Błędne rozpoznanie typu

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Przepełnienie stosu

Ujawnienie informacji

Istotna

CVE-2018-12838

Dwukrotne zwolnienie pamięci

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-12841

Przekroczenie zakresu liczb całkowitych

Ujawnienie informacji

Istotna

CVE-2018-12881,

CVE-2018-12842

Błędy bufora

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Wyłuskanie niezaufanego wskaźnika

Wykonanie dowolnego kodu

Krytyczna

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Ominięcie zabezpieczeń

Podniesienie uprawnień

Krytyczna

CVE-2018-15966

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Anonimowa osoba w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12851)
  • Zhiyuan Wang z Chengdu Security Response Center w firmie Qihoo 360 Technology Co. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • willJ w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12856, CVE-2018-12855)
  • Sebastian Apelt (siberas) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12858)
  • Lin Wang z Uniwersytetu BeiHang w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12876, CVE-2018-12868)
  • Esteban Ruiz (mr_me) z firmy Source Incite w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12879, CVE-2018-12877)
  • Kamlapati Choubey w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Ron Waisberg w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Aleksandar Nikolic z firmy Cisco Talos.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Lin Wang z Uniwersytetu BeiHang (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Gal De Leon z firmy Palo Alto Networks (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Zhenjie Jia z zespołu Qihoo 360 Vulcan (CVE-2018-12831)
  • Hui Gao z firmy Palo Alto Networks i Heige (znany też pod pseudonimem SuperHei) z zespołu Knownsec 404 Security Team (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Bo Qu i Zhibin Zhang z firmy Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Qi Deng z firmy Palo Alto Networks i Heige (znany też pod pseudonimem SuperHei) z zespołu Knownsec 404 Security Team (CVE-2018-15977)
  • Esteban Ruiz (mr_me) z firmy Source Incite współpracujący z firmą iDefense Labs (CVE-2018-12835)
  • Ashfaq Ansari — Project Srishti we współpracy z iDefense Labs (CVE-2018-15968)
  • Netanel Ben-Simon i Yoav Alon z firmy Check Point Software Technologies (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu z firmy Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Wei Wei (@Danny__Wei) z działu Xuanwu Lab firmy Tencent (CVE-2018-15966)