Biuletyn dotyczący zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-34
ID biuletynu Data publikacji Priorytet
APSB18-34 19 września 2018 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach.  Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 

Zagrożone wersje

Te aktualizacje usuwają krytycznych luki w zabezpieczeniach oprogramowania. Firma Adobe przydzieli tym aktualizacjom następujące priorytety:

Produkt Ścieżka Zagrożone wersje Platforma Ocena priorytetu
Acrobat DC  Rola
2018.011.20058 i starsze wersje 
Windows i macOS 2
Acrobat Reader DC Rola
2018.011.20058 i starsze wersje 
Windows i macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30099 i starsze wersje Windows i macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30099 i starsze wersje Windows i macOS 2
         
Acrobat DC  Classic 2015 2015.006.30448 i starsze wersje
Windows i macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30448 i starsze wersje
Windows i macOS 2

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Rola 2018.011.20063
Windows i macOS 2
Windows
macOS
Acrobat Reader DC Rola 2018.011.20063
Windows i macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30102 Windows i macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30102 Windows i macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30452
Windows i macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30452 Windows i macOS 2
Windows
macOS

Uwaga:

Zgodnie z poprzednio opublikowaną zapowiedzią wsparcie dla programów Adobe Acrobat 11.x i Adobe Reader 11.x zostało zakończone 15 października 2017 r.  Wersja 11.0.23 jest ostatnią wersją programów Adobe Acrobat 11.x i Adobe Reader 11.x. Firma Adobe zdecydowanie zaleca aktualizację do najnowszych wersji Adobe Acrobat DC i Adobe Acrobat Reader DC. Aktualizacja do najnowszych wersji umożliwia korzystanie z najnowszych ulepszeń funkcjonalności i zabezpieczeń.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Zapis poza zakresem 
Wykonanie dowolnego kodu
Krytyczna CVE-2018-12848
Odczyt poza zakresem Ujawnienie informacji Istotna

CVE-2018-12849

CVE-2018-12850

CVE-2018-12801

CVE-2018-12840

CVE-2018-12778

CVE-2018-12775

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Anonimowy użytkownik współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-12778, CVE-2018-12775)
  • Cybellum Technologies LTD (CVE-2018-12801) 

  • Omri Herscovici, Vulnerability Research Check Point Software Technologies Ltd. (CVE-2018-12848, CVE-2018-12849, CVE-2018-12850, CVE-2018-12840)