Data de lançamento: 5 de janeiro de 2017
Última atualização: 30 de março de 2017
Identificador de vulnerabilidade: APSB17-01
Prioridade: 2
Números CVE: CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2946, CVE-2017-2947, CVE-2017-2948, CVE-2017-2949, CVE-2017-2950, CVE-2017-2951, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2959, CVE-2017-2960, CVE-2017-2961, CVE-2017-2962, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966, CVE-2017-2967, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972, CVE-2017-3009, CVE-2017-3010
Plataformas: Windows e Macintosh
A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.
Produto | Track | Versões afetadas | Plataforma |
---|---|---|---|
Acrobat DC | Contínuo | 15.020.20042 e versões anteriores |
Windows e Macintosh |
Acrobat Reader DC | Contínuo | 15.020.20042 e versões anteriores |
Windows e Macintosh |
Acrobat DC | Clássico | 15.006.30244 e versões anteriores |
Windows e Macintosh |
Acrobat Reader DC | Clássico | 15.006.30244 e versões anteriores |
Windows e Macintosh |
Acrobat XI | Desktop | 11.0.18 e versões anteriores | Windows e Macintosh |
Reader XI | Desktop | 11.0.18 e versões anteriores | Windows e Macintosh |
Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC. Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
- Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
- Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
- O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
- Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores.
- Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM (Windows), ou no Macintosh, Apple Remote Desktop e em SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto | Track | Versões atualizadas | Plataforma | Classificação de prioridade | Disponibilidade |
---|---|---|---|---|---|
Acrobat DC | Contínuo | 15.023.20053 |
Windows e Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC | Contínuo | 15.023.20053 |
Windows e Macintosh | 2 | Centro de downloads |
Acrobat DC | Clássico | 15.006.30279 |
Windows e Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC | Clássico | 15.006.30279 |
Windows e Macintosh | 2 | Windows Macintosh |
Acrobat XI | Desktop | 11.0.19 | Windows e Macintosh | 2 | Windows Macintosh |
Reader XI | Desktop | 11.0.19 | Windows e Macintosh | 2 | Windows Macintosh |
- Essas atualizações resolvem uma vulnerabilidade de confusão de tipo que pode levar à execução de código (CVE-2017-2962).
- Essas atualizações resolvem vulnerabilidades de uso após período gratuito que podem levar à execução de código (CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2961).
- Essas atualizações resolvem vulnerabilidades de estouro de buffer de heap que podem levar à execução de código (CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959, CVE-2017-2966, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972).
- Essas atualizações resolvem vulnerabilidades de estouro de buffer que podem levar à execução de código (CVE-2017-2948, CVE-2017-2952).
- Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2967, CVE-2017-3010).
- Essas atualizações resolvem uma vulnerabilidade de atalho de segurança (CVE-2017-2947).
- Essas atualizações resolvem uma vulnerabilidade de estouro de buffer que pode levar à divulgação de informações (CVE-2017-3009).
A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:
- Jaanus Kääp, da Clarified Security, e Anônimo, que trabalha na Zero Day Initiative da Trend Micro (CVE-2017-2939)
- kelvinwang da Tencent PC Manager (CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958)
- Steven Seeley da Source Incite trabalhando com a Zero Day Initiative da Trend Micro e Kushal Arvind Shah da Fortinet's FortiGuard Labs (CVE-2017-2946)
- Sebastian Apelt (siberas) trabalhando com a Zero Day Initiative da Trend Micro (CVE-2017-2961, CVE-2017-2967)
- Ke Liu, do Xuanwu LAB da Tencent (CVE-2017-2940, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2972)
- kdot que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-2941, CVE-2017-3009)
- Nicolas Grégoire (Agarri) trabalhando com a Zero Day Initiative da Trend Micro (CVE-2017-2962)
- Nicolas Grégoire - Agarri trabalhando com iDefense Vulnerability Contributor Program (CVE-2017-2948)
- Anônimo trabalhando com a Zero Day Initiative da Trend Micro (CVE-2017-2951, CVE-2017-2970)
- Anônimo, que trabalha na Zero Day Initiative da Trend Micro, e Anônimo, que trabalha com a iDefense (CVE-2017-2950)
- Ke Liu, do Xuanwu LAB da Tencent, que trabalha na Zero Day Initiative da Trend Micro, e riusksk (泉哥), do Departamento de plataforma de segurança da Tencent (CVE-2017-2959)
- Ke Liu, do Xuanwu LAB da Tencent, que trabalha na Zero Day Initiative da Trend Micro (CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966)
- Wei Lei e Liu Yang, da Nanyang Technological University, Anônimo, que trabalha na Zero Day Initiative da Trend Micro, e Nicolas Grégoire – Agarri, que trabalha no Programa de colaborador de vulnerabilidade do iDefense (CVE-2017-2949)
- Alex Inführ da Cure53.de (CVE-2017-2947)
- Aleksandar Nikolic da Cisco Talos (CVE-2017-2971)
- Kushal Arvind Shah e Peixue Li, dos FortiGuard Labs da Fortinet (CVE-2017-3010)
20 de janeiro de 2017: adicionadas referências aos CVE-2017-2970, CVE-2017-2971 e CVE-2017-2972, que haviam sido inadvertidamente omitidos do boletim.
16 de fevereiro de 2017: atualizados os agradecimentos referentes aos CVE-2017-2939, CVE-2017-2946, CVE-2017-2949, CVE-2017-2950 e CVE-2017-2959, que haviam sido inadvertidamente omitidos do boletim.
30 de março de 2017: atualizados agradecimentos referentes aos CVE-2017-3009 e CVE-2017-3010, que haviam sido inadvertidamente omitidos do boletim.