Boletim de segurança da Adobe
Atualizações de segurança disponíveis para o Adobe Acrobat e Reader | APSB17-36
ID do boletim Data de publicação Prioridade
APSB17-36 14 de novembro de 2017 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.

Versões afetadas

Produto Versões afetadas Plataforma
Acrobat DC (Faixa contínua) 2017.012.20098 e versões anteriores
Windows e Macintosh
Acrobat Reader DC (Faixa contínua) 2017.012.20098 e versões anteriores
Windows e Macintosh
     
Acrobat 2017 2017.011.30066 e versões anteriores Windows e Macintosh
Acrobat Reader 2017 2017.011.30066 e versões anteriores Windows e Macintosh
     
Acrobat DC (Faixa clássica) 2015.006.30355 e versões anteriores
Windows e Macintosh
Acrobat Reader DC (Faixa clássica) 2015.006.30355 e versões anteriores
Windows e Macintosh
     
Acrobat XI 11.0.22 e versões anteriores Windows e Macintosh
Reader XI 11.0.22 e versões anteriores Windows e Macintosh

Para obter mais informações sobre o Acrobat DC, acesse a página de Perguntas frequentes do Acrobat DC.

Para obter mais informações sobre o Acrobat Reader DC, acesse a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem
    detectadas.
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM
    para o Windows ou, no Macintosh, Apple Remote Desktop e SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC (Faixa contínua) 2018.009.20044
Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Faixa contínua) 2018.009.20044
Windows e Macintosh 2 Centro de downloads
         
Acrobat 2017 2017.011.30068 Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows e Macintosh 2 Windows
Macintosh
         
Acrobat DC(Faixa clássica) 2015.006.30392
Windows e Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Faixa clássica) 2015.006.30392 
Windows e Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows e Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows e Macintosh 2 Windows
Macintosh

Observação:

Como observado nesse anúncio prévio, a suporte para Adobe Acrobat 11.x e Adobe Reader 11.x foi encerrado em 15 de outubro de 2017.  A Versão 11.0.23 é a versão final do Adobe Acrobat 11.x e Adobe Reader 11.x.  A Adobe recomenda fortemente que você atualize para as versões mais recentes do Adobe Acrobat DC e Adobe Acrobat Reader DC. Ao atualizar as instalações das versões mais recentes, você se beneficia dos aprimoramentos funcionais mais recentes e de medidas de segurança aprimoradas.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Acesso de ponteiro não inicializado Execução de código remota
Crítico CVE-2017-16377
CVE-2017-16378
Uso após período gratuito Execução de código remota
Crítico CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Acesso de buffer com valor de comprimento incorreto Execução de código remota Crítico CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Buffer over-read Execução de código remota Crítico CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Sobrefluxo/subfluxo de buffer Execução de código remota Crítico CVE-2017-16368
Heap Overflow Execução de código remota Crítico CVE-2017-16383
Validação inadequada do índice de matriz Execução de código remota Crítico

CVE-2017-16391
CVE-2017-16410

Out-of-bounds Read Execução de código remota Crítico CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Out-of-bounds Write Execução de código remota Crítico CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Bypass de segurança Drive-by-download Importante
CVE-2017-16361
CVE-2017-16366
Bypass de segurança Divulgação de informações Importante CVE-2017-16369
Bypass de segurança Execução de código remota
Crítico
CVE-2017-16380
Exaustão de pila Consumo excessivo de recursos Importante CVE-2017-16419
Confusão do tipo Execução de código remota Crítico CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Desreferência de ponteiro não confiável Execução de código remota Crítico CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar os
problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu do Xuanwu LAB da Tencent trabalhando com a Zero Day Initiative da Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu do Xuanwu LAB da Tencent (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me), da Offensive Security, que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic da Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) do departamento de plataforma de segurança da Tencent (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang da Beihang University (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ da Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren do NCC Group Plc (CVE-2017-16380)
  • Gal De Leon da Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari - Projeto Srishti trabalhando com o iDefense Labs (CVE-2017-16368)