Säkerhetsuppdatering för Adobe Acrobat och Reader | APSB17-24
|
Publiceringsdatum |
Prioritet |
|
|---|---|---|
|
APSB17-24 |
den 8 augusti 2017 |
2 |
Sammanfattning
Berörda versioner
För mer information om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.
För mer information om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa
instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
- Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
- Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon
åtgärd. - Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Download Center.
För IT-administratörer (administrerade miljöer):
- Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.
- Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM
(Windows) eller – för Macintosh – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
| Produkt | Uppdaterade versioner | Plattform | Prioritetsklassificering | Tillgänglighet |
|---|---|---|---|---|
| Acrobat DC (Continuous) | 2017.012.20098 |
Windows och Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC (Continuous) | 2017.012.20098 | Windows och Macintosh | 2 | Hämtningscentret |
| Acrobat 2017 | 2017.011.30066 | Windows och Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows och Macintosh | 2 | Windows Macintosh |
| Acrobat DC (Classic) | 2015.006.30355 |
Windows och Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC (Classic) | 2015.006.30355 |
Windows och Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows och Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows och Macintosh | 2 | Windows Macintosh |
Version 11.0.22 är tillgänglig för användare som påverkas av funktionstillbakagången i XFA-formulär som introducerades i 11.0.21 (se nedan för mer information). Både 11.0.22 och 11.0.21 löser alla säkerhetsluckor som refereras till i denna bulletin.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVE-nummer |
|---|---|---|---|
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3016 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3038 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-3113 |
| Otillräcklig kontroll av dataautenticitet | Informationsexponering | Viktig | CVE-2017-3115 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3116 |
| Stackfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3117 |
| Kringgående av säkerhet | Informationsexponering | Viktig | CVE-2017-3118 |
| Minnesfel | Fjärrexekvering av kod | Viktig | CVE-2017-3119 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-3120 |
| Stackfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3121 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-3122 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3123 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-3124 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11209 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11210 |
| Stackfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11211 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11212 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11214 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11216 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11217 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11218 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11219 |
| Stackfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11220 |
| Typförväxling | Fjärrexekvering av kod | Kritisk | CVE-2017-11221 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11222 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11223 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11224 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11226 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11227 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11228 |
| Kringgående av säkerhet | Fjärrexekvering av kod | Viktig | CVE-2017-11229 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11230 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11231 |
| Use After Free | Informationsexponering | Viktig | CVE-2017-11232 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11233 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11234 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11235 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11236 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11237 |
| Minnesfel | Informationsexponering | Kritisk | CVE-2017-11238 |
| Minnesfel | Informationsexponering | Kritisk | CVE-2017-11239 |
| Stackfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11241 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11242 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11243 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11244 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11245 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11246 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11248 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11249 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11251 |
| Minnesfel | Informationsexponering | Kritisk | CVE-2017-11252 |
| Use After Free | Fjärrexekvering av kod | Viktig | CVE-2017-11254 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11255 |
| Use After Free | Fjärrexekvering av kod | Kritisk | CVE-2017-11256 |
| Typförväxling | Fjärrexekvering av kod | Kritisk | CVE-2017-11257 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11258 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11259 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11260 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11261 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11262 |
| Minnesfel | Fjärrexekvering av kod | Viktig | CVE-2017-11263 |
| Minnesfel | Informationsexponering | Viktig | CVE-2017-11265 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11267 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11268 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11269 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11270 |
| Minnesfel | Fjärrexekvering av kod | Kritisk | CVE-2017-11271 |
CVE-2017-3038 har lösts i 2017.009.20044 och 2015.006.30306 (version: april 2017), men korrigering var inte komplett för version 11.0.20. Säkerhetsluckan har nu åtgärdats fullständigt i version 11.0.21 (version: augusti 2017).
Tack
Adobe tackar följande personer för att de har rapporterat
problemen och för att de samarbetar med oss i säkerhetsfrågor:
- @vftable i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic från Cisco Talos (CVE-2017-11263)
- Alex Infuhr från fin 53 (CVE-2017-11229)
- Ashfaq Ansari från Project Srishti (CVE-2017-11221)
- Ashfaq Ansari från Project Srishti i samarbete med iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- En anonym rapport som inkommit via Trend Micros Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernanco Munoz i samarbete med Trend Micros Zero Day Initiative (CVE-2017-3115)
- Giwan Go på STEALIEN i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
- Heige (alias SuperHei) från Knwonsec 404 Team (CVE-2017-11222)
- Jaanus Kääp, Clarified Security, i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kääp, Clarified Security, i samarbete med Trend Micros Zero Day Initiative och Ashfaq Ansari – Project Srishti i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11231)
- Jihui Lu från Tencent KeenLab (CVE-2017-3119)
- kdot i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu från Tencents Xuanwu LAB i samarbete med Trend Micros Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu från Tencents Xuanwu LAB i samarbete med Trend Micros Zero Day Initiative och Steven Seeley (mr_me) från Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas i samarbete med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk vid Tencent Security Platform Department (CVE-2017-3016)
- Sebastian Apelt siberas i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) från Offensive Security i samarbete med Trend Micros Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley i samarbete med Beyond Securitys SecuriTeam Secure Disclosure Program (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
Revisioner
29 augusti 2017: lösningstabellen har uppdaterats för att återspegla nya uppdateringar som finns tillgängliga från 29 augusti. Uppdateringarna löser en funktionell tillbakagång med XFA-formulärfunktionaliteten som påverkade vissa användare. Versionerna från 29 augusti löser även säkerhetsluckan CVE-2017-11223.
CVE-2017-11223 åtgärdades ursprungligen i uppdateringarna från 8 augusti (version 2017.012.20093, 2017.011.30059 och 2015.006.30352), men på grund av en funktionell tillbakagång i de versionerna tillhandahölls tillfälliga programfixar som återställde korrigeringen för CVE-2017-11223. Versionerna från 29 augusti löser både tillbakagången och tillhandahåller en korrigering för CVE-2017-11223. Se den här bloggposten för mer information.
