Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Acrobat e Reader

Data de lançamento: 6 de abril de 2017

Última atualização: 11 de maio de 2017

Identificador de vulnerabilidade: APSB17-11

Prioridade: 2

Números CVE: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Plataformas: Windows e Macintosh

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC Contínuo 15.023.20070 e versões anteriores
Windows e Macintosh
Acrobat Reader DC Contínuo 15.023.20070 e versões anteriores
Windows e Macintosh
       
Acrobat DC Clássico 15.006.30280 e versões anteriores
Windows e Macintosh
Acrobat Reader DC Clássico 15.006.30280 e versões anteriores
Windows e Macintosh
       
Acrobat XI Desktop 11.0.19 e versões anteriores Windows e Macintosh
Reader XI Desktop 11.0.19 e versões anteriores Windows e Macintosh

Para obter mais informações sobre o Acrobat DC, acesse a página de Perguntas frequentes do Acrobat DC.

Para obter mais informações sobre o Acrobat Reader DC, acesse a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as
instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem
    detectadas.
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM
    para o Windows ou, no Macintosh, Apple Remote Desktop e SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Contínuo 2017.009.20044
Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader DC Contínuo 2017.009.20044
Windows e Macintosh 2 Centro de downloads
           
Acrobat DC Clássico 2015.006.30306
Windows e Macintosh
2 Windows
Macintosh
Acrobat Reader DC Clássico 2015.006.30306 
Windows e Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.20 Windows e Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.20 Windows e Macintosh 2 Windows
Macintosh

Detalhes da vulnerabilidade

  • Essas atualizações resolvem vulnerabilidades de uso após período gratuito que podem levar à execução de código (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Essas atualizações resolvem vulnerabilidades de transbordamento de dados de heap que podem levar à execução de código
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Essas atualizações resolvem vulnerabilidades de sobrecarga total que pode levar à execução de código (CVE-
    2017-3011, CVE-2017-3034).
  • Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar a um vazamento de
    endereço de memória (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Essas atualizações resolvem vulnerabilidades no caminho de pesquisa do diretório usadas para localizar os recursos
    que podem levar à execução do código (CVE-2017-3012, CVE-2017-3013).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar os
problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:

  • Nicolas Gregoire – Agarri, que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li e Huinian Yang da ART&UESTC's Neklab (CVE-2017-3037)
  • Relatado anonimamente pelo Programa de colaborador de vulnerabilidade (VCP) da iDefense (CVE-2017-3014, CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk, que trabalha na Zero Day Initiative da Trend Micro (CVE-2017-3040)
  • LiuBenjin da Equipe Qihoo360 CodeSafe que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Equipe Keen que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri da Zero Day Initiative da Trend Micro e Steven Seeley (mr_me) da Segurança
    ofensiva que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3042)
  • AbdulAziz Hariri da Zero Day Initiative da Trend Micro (CVE-2017-3043)
  • Ashfaq Ansari - Project Srishti pelo programa iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Steven Seeley (mr_me) da Segurança ofensiva (CVE-2017-3026, CVE-2017-3054)
  • kimyok do Departamento de plataforma de segurança da Tencent (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me), da Offensive Security, que trabalha com a Zero Day Initiative da Trend Micro
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me), da Offensive Security, que trabalha na Zero Day Initiative da Trend Micro, e Ke Liu, do Xuanwu LAB da Tencent (CVE-2017-3050)
  • KE Liu do Xuanwu LAB da Tencent (CVE-2017-3012, CVE-2017-3015)
  • soiax que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3022)
  • Sebastian Apelt (Siberas), que trabalha na Zero Day Initiative da Trend Micro (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu do Xuanwu LAB da Tencent que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao do Tencent PC Manager via GeekPwn (CVE-2017-3011)
  • Giwan Go da STEALIEN que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Revisões

27 de abril de 2017: atualizados os agradecimentos referentes ao CVE-2017-3050, que haviam sido omitidos inadvertidamente do boletim.

11 de maio de 2017: atualizados os agradecimentos referentes ao CVE-2017-3040, que haviam sido omitidos inadvertidamente do boletim.