Обновления безопасности для Adobe Acrobat и Reader | APSB18-02
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-02 13 февраля 2018 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой. 

Затронутые версии

Продукт Затронутые версии Платформа
Acrobat DC (Continuous Track) 2018.009.20050 и более ранние версии 
Windows и Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20050 и более ранние версии 
Windows и Macintosh
     
Acrobat 2017 2017.011.30070 и более ранние версии Windows и Macintosh
Acrobat Reader 2017 2017.011.30070 и более ранние версии Windows и Macintosh
     
Acrobat DC (Classic Track) 2015.006.30394 и более ранние версии
Windows и Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30394 и более ранние версии
Windows и Macintosh

Для получения дополнительной информации об Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

Для получения дополнительной информации об Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства
    пользователей.
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики в соответствующих версий замечаний к выпуску.
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM
    (Windows) или удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC (Continuous Track) 2018.011.20035
Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.011.20035
Windows и Macintosh 2 Центр загрузки
         
Acrobat 2017 2017.011.30078 Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows и Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30413
Windows
2 Windows
Acrobat DC (Classic Track) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30413
Windows 2 Центр загрузки
Acrobat Reader DC (Classic Track) 2015.006.30416 Macintosh 2 Центр загрузки

Примечание.

Как описано в предыдущем объявлении, поддержка Adobe Acrobat 11.x и Adobe Reader 11.x закончилась 15 октября 2017 года.Версия 11.0.23 является окончательной версией для Adobe Acrobat 11.x и Adobe Reader 11.x. Компания Adobe настоятельно рекомендует выполнить обновление до новейших версий Adobe Acrobat DC и Adobe Acrobat Reader DC. При обновлении установленных программ до новейших версий пользователь получит возможность использования новейших функциональных возможностей и улучшенных мер безопасности.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Обход системы безопасности
Проблема, связанная с повышением уровня полномочий
Критическая CVE-2018-4872
Переполнение кучи
Выполнение произвольного кода
Критическая

CVE-2018-4890, CVE-2018-4904, CVE-2018-4910, CVE-2018-4917 

Использование освобожденной памяти 
Выполнение произвольного кода
Критическая CVE-2018-4888, CVE-2018-4892, CVE-2018-4902, CVE-2018-4911, CVE-2018-4913 
Запись за пределами буфера 
Выполнение произвольного кода
Критическая CVE-2018-4879, CVE-2018-4895, CVE-2018-4898, CVE-2018-4901, CVE-2018-4915, CVE-2018-4916, CVE-2018-4918 
Чтение за пределами буфера
Удаленное выполнение кода Важная CVE-2018-4880, CVE-2018-4881, CVE-2018-4882, CVE-2018-4883, CVE-2018-4884, CVE-2018-4885, CVE-2018-4886, CVE-2018-4887, CVE-2018-4889, CVE-2018-4891, CVE-2018-4893, CVE-2018-4894, CVE-2018-4896, CVE-2018-4897, CVE-2018-4899, CVE-2018-4900, CVE-2018-4903, CVE-2018-4905, CVE-2018-4906, CVE-2018-4907, CVE-2018-4908, CVE-2018-4909, CVE-2018-4912, CVE-2018-4914 

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о
существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Александр Николик, Cisco Talos (CVE-2018-4901) 
  • Анонимный пользователь, сообщивший о проблеме в рамках инициативы Zero Day Initiative компании Trend Micro (CVE-2018-4915, CVE-2018-4913, CVE-2018-4911, CVE-2018-4910)
  • Гал Де Леон (CVE-2018-4900) 
  • Яанус Кейпи, Clarified Security, участник программы Zero Day Initiative компании Trend Micro (CVE-2018-4892, CVE-2018-4882)
  • Ke Лиу, лаборатория Xuanwu компании Tencent, участник программы Zero Day Initiative компании Trend Micro (CVE-2018-4905, CVE-2018-4904, CVE-2018-4891, CVE-2018-4890, CVE-2018-4889, CVE-2018-4887, CVE-2018-4886, CVE-2018-4885, CVE-2018-4883, CVE-2018-4884)
  • Ke Лиу, лаборатория Xuanwu компании Tencent, участники программы Trend Micro Zero Day Initiative, и пользователь willJ, Tencent PC Manager, участник программы Zero Day Initiative компании Trend Micro (CVE-2018-4903)
  • Ke Лиу, лаборатория Xuanwu компании Tencent (CVE-2018-4906, CVE-2018-4917, CVE-2018-4918) 
  • Линь Ван из Бэйханского университета (CVE-2018-4879, CVE-2018-4899, CVE-2018-4896, CVE-2018-4895, CVE-2018-4893)
  • Линь Ван из Бэйханского университета и пользователь willJ, Tencent PC Manager, участники программы Zero Day Initiative компании Trend Micro (CVE-2018-4898)
  • Линь Ван из Бэйханского университета и Стивен Сили, Source Incite, участники программы Zero Day Initiative компании Trend Micro (CVE-2018-4894)
  • Пользователь riusksk, отдел платформы безопасности Tencent, участник программы Trend Micro Zero Day Initiative (CVE-2018-4916, CVE-2018-4881, CVE-2018-4880) 
  • Пользователь riusksk, отдел платформы безопасности Tencent (CVE-2018-4908) 
  • Себастьян Апельт Сиберас, участник программы Trend Micro Zero Day Initiative (CVE-2018-4888) 
  • Пользователь willJ, Tencent PC Manager (CVE-2018-4897, CVE-2018-4907) 
  • Пользователь willJ, Tencent PC Manager, участник программы Trend Micro Zero Day Initiative (CVE-2018-4914, CVE-2018-4912, CVE-2018-4909)
  • Пользователи XuPeng и HuangZheng из лаборатории Baidu Security Lab (CVE-2018-4902) 

Редакции

14 февраля 2018 г.: обновлена таблица благодарностей.