Säkerhetsuppdatering för Adobe Acrobat och Reader | APSB17-24
Bulletin-ID Publiceringsdatum Prioritet
APSB17-24 den 8 augusti 2017 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och Macintosh. Uppdateringarna åtgärdar säkerhetsluckor som klassats som kritiska respektive viktiga och kan ge en angripare möjlighet att ta kontroll över den drabbade datorn. 

Berörda versioner

Dessa uppdateringar åtgärdar kritiska sårbarheter med i programmet. Adobe ger uppdateringarna nedan följande prioriteter:

Produkt Berörda versioner Plattform
Acrobat DC (Continuous) 2017.009.20058 och tidigare versioner
Windows och Macintosh
Acrobat Reader DC (Continuous) 2017.009.20058 och tidigare versioner
Windows och Macintosh
     
Acrobat 2017 2017.008.30051 och tidigare versioner Windows och Macintosh
Acrobat Reader 2017 2017.008.30051 och tidigare versioner Windows och Macintosh
     
Acrobat DC (Classic) 2015.006.30306 och tidigare versioner
Windows och Macintosh
Acrobat Reader DC (Classic) 2015.006.30306 och tidigare versioner
Windows och Macintosh
     
Acrobat XI 11.0.20 och tidigare versioner Windows och Macintosh
Reader XI 11.0.20 och tidigare versioner Windows och Macintosh

För mer information om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.

För mer information om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa
instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon
    åtgärd.
  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Download Center.

För IT-administratörer (administrerade miljöer):

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.
  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM
    (Windows) eller – för Macintosh – via Apple Remote Desktop och SSH.

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC (Continuous) 2017.012.20098
Windows och Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous) 2017.012.20098 Windows och Macintosh 2 Download Center
         
Acrobat 2017 2017.011.30066 Windows och Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows och Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic) 2015.006.30355
Windows och Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic) 2015.006.30355 
Windows och Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows och Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows och Macintosh 2 Windows
Macintosh

Obs!

Version 11.0.22 är tillgänglig för användare som påverkas av funktionstillbakagången i XFA-formulär som introducerades i 11.0.21 (se nedan för mer information).  Både 11.0.22 och 11.0.21 löser alla säkerhetsluckor som refereras till i denna bulletin.    

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-3016
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-3038
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-3113
Otillräcklig kontroll av dataautenticitet Informationsexponering Viktig CVE-2017-3115
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-3116
Stackfel Fjärrexekvering av kod Kritisk CVE-2017-3117
Kringgående av säkerhet Informationsexponering Viktig CVE-2017-3118
Minnesfel Fjärrexekvering av kod Viktig CVE-2017-3119
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-3120
Stackfel Fjärrexekvering av kod Kritisk CVE-2017-3121
Minnesfel Informationsexponering Viktig CVE-2017-3122
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-3123
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-3124
Minnesfel Informationsexponering Viktig CVE-2017-11209
Minnesfel Informationsexponering Viktig CVE-2017-11210
Stackfel Fjärrexekvering av kod Kritisk CVE-2017-11211
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11212
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11214
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11216
Minnesfel Informationsexponering Viktig CVE-2017-11217
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11218
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11219
Stackfel Fjärrexekvering av kod Kritisk CVE-2017-11220
Typförväxling Fjärrexekvering av kod Kritisk CVE-2017-11221
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11222
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11223
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11224
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11226
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11227
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11228
Kringgående av säkerhet Fjärrexekvering av kod Viktig CVE-2017-11229
Minnesfel Informationsexponering Viktig CVE-2017-11230
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11231
Use After Free Informationsexponering Viktig CVE-2017-11232
Minnesfel Informationsexponering Viktig CVE-2017-11233
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11234
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11235
Minnesfel Informationsexponering Viktig CVE-2017-11236
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11237
Minnesfel Informationsexponering Kritisk CVE-2017-11238
Minnesfel Informationsexponering Kritisk CVE-2017-11239
Stackfel Fjärrexekvering av kod Kritisk CVE-2017-11241
Minnesfel Informationsexponering Viktig CVE-2017-11242
Minnesfel Informationsexponering Viktig CVE-2017-11243
Minnesfel Informationsexponering Viktig CVE-2017-11244
Minnesfel Informationsexponering Viktig CVE-2017-11245
Minnesfel Informationsexponering Viktig CVE-2017-11246
Minnesfel Informationsexponering Viktig CVE-2017-11248
Minnesfel Informationsexponering Viktig CVE-2017-11249
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11251
Minnesfel Informationsexponering Kritisk CVE-2017-11252
Use After Free Fjärrexekvering av kod Viktig CVE-2017-11254
Minnesfel Informationsexponering Viktig CVE-2017-11255
Use After Free Fjärrexekvering av kod Kritisk CVE-2017-11256
Typförväxling Fjärrexekvering av kod Kritisk CVE-2017-11257
Minnesfel Informationsexponering Viktig CVE-2017-11258
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11259
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11260
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11261
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11262
Minnesfel Fjärrexekvering av kod Viktig CVE-2017-11263
Minnesfel Informationsexponering Viktig CVE-2017-11265
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11267
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11268
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11269
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11270
Minnesfel Fjärrexekvering av kod Kritisk CVE-2017-11271

Obs!

CVE-2017-3038 har lösts i 2017.009.20044 och 2015.006.30306 (version: april 2017), men korrigering var inte komplett för version 11.0.20.  Säkerhetsluckan har nu åtgärdats fullständigt i version 11.0.21 (version: augusti 2017).  

Tack

Adobe tackar följande personer för att de har rapporterat
problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • @vftable i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic från Cisco Talos (CVE-2017-11263)
  • Alex Infuhr från fin 53 (CVE-2017-11229)
  • Ashfaq Ansari från Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari från Project Srishti i samarbete med iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • En anonym rapport som inkommit via Trend Micros Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernanco Munoz i samarbete med Trend Micros Zero Day Initiative (CVE-2017-3115)
  • Giwan Go på STEALIEN i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
  • Heige (även känd som SuperHei) (CVE-2017-11222)
  • Jaanus Kääp, Clarified Security, i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kääp, Clarified Security, i samarbete med Trend Micros Zero Day Initiative och Ashfaq Ansari – Project Srishti i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11231)
  • Jihui Lu från Tencent KeenLab (CVE-2017-3119)
  • kdot i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu från Tencents Xuanwu LAB i samarbete med Trend Micros Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu från Tencents Xuanwu LAB i samarbete med Trend Micros Zero Day Initiative och Steven Seeley (mr_me) från Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas i samarbete med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk vid Tencent Security Platform Department (CVE-2017-3016)
  • Sebastian Apelt siberas i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) från Offensive Security i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley i samarbete med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Revisioner

29 augusti 2017: lösningstabellen har uppdaterats för att återspegla nya uppdateringar som finns tillgängliga från 29 augusti.  Uppdateringarna löser en funktionell tillbakagång med XFA-formulärfunktionaliteten som påverkade vissa användare.  Versionerna från 29 augusti löser även säkerhetsluckan CVE-2017-11223.  

CVE-2017-11223 åtgärdades ursprungligen i uppdateringarna från 8 augusti (version 2017.012.20093, 2017.011.30059 och 2015.006.30352), men på grund av en funktionell tillbakagång i de versionerna tillhandahölls tillfälliga programfixar som återställde korrigeringen för CVE-2017-11223. Versionerna från 29 augusti löser både tillbakagången och tillhandhaåller en korrigering för CVE-2017-11223. Se den här bloggposten för mer information.