Бюллетень безопасности для Adobe Acrobat и Reader | APSB18-30
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-30 1 октября 2018 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и серьезные уязвимости.  При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа Рейтинг приоритета
Acrobat DC  Continuous
2018.011.20063 и более ранние версии 
Windows и MacOS 2
Acrobat Reader DC Continuous
2018.011.20063 и более ранние версии 
Windows и MacOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 и более ранние версии Windows и MacOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 и более ранние версии Windows и MacOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 и более ранние версии
Windows и MacOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 и более ранние версии
Windows и MacOS 2

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики в соответствующих версий замечаний к выпуску.
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2019.008.20071
Windows и MacOS 2
Windows
macOS
Acrobat Reader DC Continuous 2019.008.20071
Windows и MacOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows и MacOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows и MacOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows и MacOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows и MacOS 2
Windows
macOS

Примечание.

Как описано в предыдущем объявлении, поддержка Adobe Acrobat 11.x и Adobe Reader 11.x закончилась 15 октября 2017 года.Версия 11.0.23 является окончательной версией для Adobe Acrobat 11.x и Adobe Reader 11.x. Компания Adobe настоятельно рекомендует выполнить обновление до новейших версий Adobe Acrobat DC и Adobe Acrobat Reader DC. При обновлении установленных программ до новейших версий пользователь получит возможность использования новейших функциональных возможностей и улучшенных мер безопасности.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Запись за пределами буфера 
Выполнение произвольного кода
Критическая

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Чтение за пределами буфера Раскрытие информации Важная

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Переполнение кучи

Выполнение произвольного кода

Критическая

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Используйте после бесплатно

Выполнение произвольного кода

Критическая

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Несоответствие используемых типов данных

Выполнение произвольного кода

Критическая

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Переполнение стека

Раскрытие информации

Важная

CVE-2018-12838

Двойное высвобождение

Выполнение произвольного кода

Критическая

 

CVE-2018-12841

Переполнение целочисленного значения

Раскрытие информации

Важная

CVE-2018-12881,

CVE-2018-12842

Ошибки буфера

Выполнение произвольного кода

Критическая

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Несанкционированное разыменование указателя

Выполнение произвольного кода

Критическая

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Возможность обхода системы безопасности

Повышение уровня полномочий

Критическая

CVE-2018-15966

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2018-12851)
  • Джиюан Ван (Zhiyuan Wang), центр Чэнду по вопросам безопасности, Qihoo 360 CO. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • Пользователь willJ, участник программы Trend Micro Zero Day Initiative (CVE-2018-12856, CVE-2018-12855)
  • Себастьян Апельт Сиберас, участник программы Trend Micro Zero Day Initiative (CVE-2018-12858)
  • Лин Ван (Lin Wang), Бейханский университет, участник программы (CVE-2018-12876, CVE-2018-12868)
  • Эстебан Руиз (Esteban Ruiz) (mr_me), Source Incite, участник программы (CVE-2018-12879, CVE-2018-12877)
  • Камлапати Чубей (Kamlapati Choubey), участник программы Trend Micro Zero Day Initiative(CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Рон Уайсберг (Ron Waisberg), участник программы Trend Micro Zero Day Initiative (CVE -2018-15950, CVE -2018-15949, CVE -2018-15947)
  • Александр Николич (Aleksandar Nikolic), подразделение Talos компании Cisco.(CVE-2018-12852)
  • Гай Inbar (guyio) (CVE -2018-12853)
  • Лин Ван (Lin Wang) Бейханский университет (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Гал Де Леон, Palo Alto Networks (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Чжэньцзе Джиа (Zhenjie Jia), Qihoo 360 Vulcan Team (CVE-2018-12831)
  • Гуи Гао, Palo Alto Networks и Heige (который также известен как SuperHei), Knownsec 404 Security Team (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Бо Ку (Bo Qu) и Джибин Джан (Zhibin Zhang), компания Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Ки Денг, Palo Alto Networks и Heige (который также известен как SuperHei), Knownsec 404 Security Team (CVE-2018-15977)
  • Эстебан Руиз (Esteban Ruiz) (mr_me), компания Source Incite, в рамках сотрудничества с iDefense Labs (CVE-2018-12835)
  • Ашфак Ансари (Ashfaq Ansari), участник проекта компании Srishti, сотрудничающий с iDefense Labs (CVE-2018-15968)
  • Нетанел Бен-Саймон и Йоав Алон, Check Point Software Technologies (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu (Ke Лиу), компания Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Бенджамин Брупбэчер (Brupbacher) (CVE-2018-12847)
  • Вэй Вэй (@Danny__Wei), Tencent Xuanwu Lab (CVE-2018-15966)