Обновления безопасности для Adobe Acrobat и Reader | APSB17-36
Идентификатор бюллетеня Дата публикации Приоритет
APSB17-36 14 ноября 2017 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Затронутые версии

Продукт Затронутые версии Платформа
Acrobat DC (Continuous Track) 2017.012.20098 и более ранние версии
Windows и Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 и более ранние версии
Windows и Macintosh
     
Acrobat 2017 2017.011.30066 и более ранние версии Windows и Macintosh
Acrobat Reader 2017 2017.011.30066 и более ранние версии Windows и Macintosh
     
Acrobat DC (Classic Track) 2015.006.30355 и более ранние версии
Windows и Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 и более ранние версии
Windows и Macintosh
     
Acrobat XI 11.0.22 и более ранние версии Windows и Macintosh
Reader XI 11.0.22 и более ранние версии Windows и Macintosh

Для получения дополнительной информации об Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

Для получения дополнительной информации об Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства
    пользователей.
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики в соответствующих версий замечаний к выпуску.
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM
    (Windows) или удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC (Continuous Track) 2018.009.20044
Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20044
Windows и Macintosh 2 Центр загрузки
         
Acrobat 2017 2017.011.30068 Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows и Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30392
Windows и Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30392 
Windows и Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows и Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows и Macintosh 2 Windows
Macintosh

Примечание.

Как описано в предыдущем объявлении, поддержка Adobe Acrobat 11.x и Adobe Reader 11.x закончилась 15 октября 2017 года.Версия 11.0.23 является окончательной версией для Adobe Acrobat 11.x и Adobe Reader 11.x. Компания Adobe настоятельно рекомендует выполнить обновление до новейших версий Adobe Acrobat DC и Adobe Acrobat Reader DC. При обновлении установленных программ до новейших версий пользователь получит возможность использования новейших функциональных возможностей и улучшенных мер безопасности.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Доступ через неинициализированный указатель Удаленное выполнение кода
Критическая CVE-2017-16377
CVE-2017-16378
Используйте после бесплатно Удаленное выполнение кода
Критическая CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Доступ к буферу с использованием значения неправильной длины Удаленное выполнение кода Критично CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Чтение за пределами буфера Удаленное выполнение кода Критично CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Переполнение/недостаточное заполнение буфера Удаленное выполнение кода Критично CVE-2017-16368
Переполнение кучи Удаленное выполнение кода Критично CVE-2017-16383
Некорректная проверка индекса массива Удаленное выполнение кода Критично

CVE-2017-16391
CVE-2017-16410

Чтение за пределами буфера Удаленное выполнение кода Критично CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Запись за пределами буфера Удаленное выполнение кода Критично CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Возможность обхода системы безопасности Скрытая загрузка Важная
CVE-2017-16361
CVE-2017-16366
Возможность обхода системы безопасности Раскрытие информации Важная CVE-2017-16369
Возможность обхода системы безопасности Удаленное выполнение кода
Критическая
CVE-2017-16380
Истощение стека Чрезмерное использование ресурсов Важная CVE-2017-16419
Несоответствие используемых типов данных Удаленное выполнение кода Критично CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Несанкционированное разыменование указателя Удаленное выполнение кода Критично CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о
существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Тоан Фам Ван (Toan Pham Van) (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ке Лиу (Ke Liu) из группы Xuanwu LAB компании Tencent, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Лиу (Ke Liu), Лаборатория xuanwu компании Tencent (CVE -2017-16370, CVE -2017-16371, CVE -2017-16372, CVE -2017-16373, CVE -2017-16374, CVE -2017-16375)
  • Стивен Сили (mr_me), Offensive Security, участник программы Trend Micro Zero Day Initiative (CVE-2017-16369)
  • Камлапати Чоуби (Kamlapati Choubey) из компании TELUS Security Labs (CVE-2017-16415)
  • Александр Николик (Aleksandar Nikolic) из компании Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Цзюнь Кокацу (Jun Kokatsu) (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • Пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Марчин Товальски (Marcin Towalski) (CVE-2017-16391)
  • Лин Ван (Lin Wang) из Бэйханского университета (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • Пользователь willJ, использующий антивирус Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Ричард Уоррен (Richard Warren) из компании NCC Group Plc (CVE-2017-16380)
  • Гал де Леон (Gal De Leon) из компании Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Тоан Фам @__suto (CVE-2017-16360)
  • Ашфак Ансари (Ashfaq Ansari), участник проекта компании Srishti, сотрудничающий с iDefense Labs (CVE-2017-16368)