Обновления системы безопасности для Adobe Acrobat и Reader

Дата выпуска: 6 апреля 2017 г.

Последнее обновление: 11 мая 2017 г.

Идентификатор уязвимости: APSB17-11

Приоритет:  2

Номера CVE: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Платформа: Windows и Macintosh

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC Continuous 15.023.20070 и более ранние версии
Windows и Macintosh
Acrobat Reader DC Continuous 15.023.20070 и более ранние версии
Windows и Macintosh
       
Acrobat DC Classic 15.006.30280 и более ранние версии
Windows и Macintosh
Acrobat Reader DC Classic 15.006.30280 и более ранние версии
Windows и Macintosh
       
Acrobat XI Desktop 11.0.19 и более ранние версии Windows и Macintosh
Reader XI Desktop 11.0.19 и более ранние версии Windows и Macintosh

Для получения дополнительной информации об Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

Для получения дополнительной информации об Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat DC.

Решение

Компания Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя
нижеприведенным инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства
    пользователей.
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики в соответствующих версий замечаний к выпуску.
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM
    (Windows) или удаленного рабочего стола Apple и SSH в Макинтош.

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2017.009.20044
Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continuous 2017.009.20044
Windows и Macintosh 2 Центр загрузки
           
Acrobat DC Classic 2015.006.30306
Windows и Macintosh
2 Windows
Macintosh
Acrobat Reader DC Classic 2015.006.30306 
Windows и Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.20 Windows и Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.20 Windows и Macintosh 2 Windows
Macintosh

Сведения об уязвимости

  • В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • В этих обновлениях исправлена проблема, связанная с переполнением буфера кучи, которая могла привести к выполнению кода
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • В этих обновлениях устранены уязвимости, связанные с повреждением памяти, которые могли привести к выполнению кода
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • В этих обновлениях исправлены уязвимости, связанные с целочисленным переполнением, которые могли привести к выполнению кода (CVE-
    2017-3011, CVE-2017-3034).
  • В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Эти обновления устраняют уязвимости в пути поиска каталога, используемом для поиска ресурсов, которые могли привести
    к выполнению кода (CVE-2017-3012, CVE-2017-3013).

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о
существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Николас Грегуар — Agarri, участник программы Trend Micro Zero Day Initiative (CVE-2017-3031)
  • Вэйчжун Цянь, Фухао Ли и Хуэйнянь Янг, ART&UESTC's Neklab (CVE-2017-3037)
  • Анонимный пользователь в рамках программы iDefense Vulnerability Contributor Program (VCP) сообщил о проблемах (CVE-2017-3014,
    CVE-2017-3027)
  • Пользователь riusksk (CVE-2017-3039)
  • Пользователь riusksk, участник программы Trend Micro Zero Day Initiative (CVE-2017-3040)
  • LiuBenjin, рабочая группа Qihoo360 CodeSafe, участник программы Trend Micro Zero Day Initiative (CVE-2017-
    3055)
  • Николас Сотириу (CVE-2017-3013)
  • Команда Кина, участники программы Zero Day Initiative компании Trend Micro (CVE-2017-3056, CVE-2017-3057)
  • Тоан Фам Ван ( @__suto ) (CVE-2017-3041)
  • Абдул-Азиз Харири, участник программы Trend Micro Zero Day Initiative и Стивен Стили (mr_me), Offensive
    Security, участник программы Trend Micro Zero Day Initiative (CVE-2017-3042)
  • Абдул-Азиз Харири, участник программы Trend Micro Zero Day Initiative (CVE-2017-3043)
  • Ашфак Ансари, Project Srishti в рамках программы iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Стивен Сили (mr_me), Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • Пользователь kimyok, Tencent Security Platform Department (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • Пользователь kdot, участник программы Zero Day Initiative компании Trend Micro (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Стивен Сили (mr_me), Offensive Security, участник программы Trend Micro Zero Day Initiative
    (CVE-2017-3047, CVE-2017-3049)2017-
  • Стивен Сили (mr_me), Offensive Security, участник программы Trend Micro Zero Day Initiative и Ke Лиу, лаборатория Xuanwu компании Tencent (CVE-2017-3050)
  • Ke Лиу, лаборатория Xuanwu компании Tencent (CVE-2017-3012, CVE-2017-3015)
  • Пользователь soiax, участник программы Trend Micro Zero Day Initiative (CVE-2017-3022)
  • Себастьян Апельт (Siberas), участник программы Trend Micro Zero Day Initiative (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Лиу, лаборатория Xuanwu компании Tencent, участник программы Trend Micro Zero Day Initiative (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Цзюнь Мао, Tencent PC Manager, посредством GeekPwn (CVE-2017-3011)
  • Гивань Го, STEALIEN, участник программы Trend Micro Zero Day Initiative (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Редакции

27 апреля 2017 г.: обновлено подтверждение проблемы CVE -2017-3050, которая случайно была исключена из бюллетеня.

11 мая 2017 г.: обновлено подтверждение проблемы CVE -2017-3040, которая случайно была исключена из бюллетеня.