Biuletyn dotyczący zabezpieczeń dla programów Adobe Acrobat i Reader | APSB18-41
ID biuletynu Data publikacji Priorytet
APSB18-41 11 grudnia 2018 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach. Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.   

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Rola
2019.008.20081 i starsze wersje 
Windows 
Acrobat DC  Rola 2019.008.20080 i starsze wersje macOS
Acrobat Reader DC Rola
2019.008.20081 i starsze wersje Windows
Acrobat Reader DC Rola 2019.008.20080 i starsze wersje macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 i starsze wersje Windows
Acrobat 2017 Classic 2017 2017.011.30105 i starsze wersje macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 i starsze wersje Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 i starsze wersje macOS
       
Acrobat DC  Classic 2015 2015.006.30457 i starsze wersje  Windows
Acrobat DC  Classic 2015 2015.006.30456 i starsze wersje  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 i starsze wersje  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 i starsze wersje  macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Rola 2019.010.20064 Windows i macOS 2 Windows

macOS
Acrobat Reader DC Rola 2019.010.20064
Windows i macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows i macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows i macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows i macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows i macOS 2 Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE

Błędy bufora

 

Wykonanie dowolnego kodu

 

Krytyczna

 

CVE-2018-15998

CVE-2018-15987

 

Wyłuskanie niezaufanego wskaźnika

 

Wykonanie dowolnego kodu

 

 

 

Krytyczna

 

 

CVE-2018-16004

CVE-2018-19720

Ominięcie zabezpieczeń

 

Podniesienie uprawnień

 

Krytyczna

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Użycie pamięci po zwolnieniu (Use After Free)

 

 

 

 

Wykonanie dowolnego kodu

 

 

 

 

Krytyczna

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Zapis poza zakresem 

 

 

 

 

Wykonanie dowolnego kodu

 

 

 

 

Krytyczna

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Przepełnienie sterty

 

 

 

 

Wykonanie dowolnego kodu

 

 

 

 

Krytyczna

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Odczyt poza zakresem

 

 

 

 

Ujawnienie informacji

 

 

 

 

Istotna

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Przekroczenie zakresu liczb całkowitych

 

Ujawnienie informacji

 

 

 

Istotna

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Ominięcie zabezpieczeń Ujawnienie informacji Istotna CVE-2018-16042

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • Użytkownik kdot współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me), administrator strony Source Incite współpracujący w ramach programu Trend Micro's Zero Day Initiative (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du Pingxin z zespołu NSFOCUS Security Team (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang z Uniwersytetu BeiHang współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-16014)

  • Użytkownik guyio współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng z zespołu Trend Micro Security Research współpracujący w ramach programu Trend Micro's Zero Day Initiative (CVE-2018-15985)

  • XuPeng z Instytutu oprogramowania TCA/SKLCS Chińskiej Akademii Nauk oraz HuangZheng z firmy Baidu Security Lab (CVE-2018-12830)

  • Linan Hao z zespołu Qihoo 360 Vulcan Team i Zhenjie Jia z zespołu Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Seeley współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (-16008, CVE-2018)

  • Roderick Schaefer współpracujący w ramach programu Trend Micro Zero Day Initiative (CVE-2018-19713)

  • Lin Wang z Uniwersytetu BeiHang (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe, Jorg Schwenk z Uniwersytetu Ruhry w Bochum (CVE-2018-16042)

  • Aleksandar Nikolic z Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) współpracujący w ramach programu Trend Micro's Zero Day Initiative (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Specjalne podziękowania dla Abdula Aziza Hariri współpracującego w ramach programu Trend Micro's Zero Day Initiative za wkład w funkcję obrony w głąb w celu zwiększenia skuteczności ograniczeń wykonywania skryptów API JavaScript (CVE-2018-16018)

  • Abdul Aziz Hariri współpracujący w ramach programu Zero Day Initiative i Sebastian Apelt za wkład w obronę w głąb w celu zmniejszenia powierzchni ataku skryptem Onix Indexing (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng z firmy Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang z firmy Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao i Qi Deng z firmy Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao i Zhibin Zhang z firmy Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu z firmy Palo Alto Networks i Heige z zespołu Knownsec 404 Security Team (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)