Adobe Güvenlik Bülteni

Adobe Reader ve Acrobat için mevcut Güvenlik Güncellemeleri

Sürüm tarihi: 6 Nisan 2017

Son güncelleme: 11 Mayıs 2017

Güvenlik açığı tanımlayıcısı: APSB17-11

Öncelik: 2

CVE numaraları: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Platform: Windows ve Macintosh

Özet

Adobe Windows ve Macintosh'ta Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, bir saldırganın etkilenen sistemin kontrolünü ele geçirmesine potansiyel olarak izin verebilecek kritik güvenlik açıklarına yöneliktir.

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform
Acrobat DC Sürekli 15.023.20070 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC Sürekli 15.023.20070 ve önceki sürümler
Windows ve Macintosh
       
Acrobat DC Klasik 15.006.30280 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC Klasik 15.006.30280 ve önceki sürümler
Windows ve Macintosh
       
Acrobat XI Masaüstü 11.0.19 ve önceki sürümler Windows ve Macintosh
Reader XI Masaüstü 11.0.19 ve önceki sürümler Windows ve Macintosh

Acrobat DC ile ilgili sorularınız için lütfen Acrobat DC SSS sayfasını ziyaret edin.

Acrobat Reader DC ile ilgili daha fazla bilgi edinmek için, lütfen Acrobat Reader DC SSS sayfasınıziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
  • Güncellemeler algılandığında kullanıcı müdahelesi gerekmeden ürünler otomatik olarak güncellenecektir.
  • Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
  • İstediğiniz yöntem ile güncellemeleri kurun, örneğin; AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) veya Macintosh'da, Apple Uzaktan Masaüstü ve SSH.

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Sürekli 2017.009.20044
Windows ve Macintosh 2 Windows
Macintosh
Acrobat Reader DC Sürekli 2017.009.20044
Windows ve Macintosh 2 Karşıdan Yükleme Merkezi
           
Acrobat DC Klasik 2015.006.30306
Windows ve Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasik 2015.006.30306 
Windows ve Macintosh 2 Windows
Macintosh
           
Acrobat XI Masaüstü 11.0.20 Windows ve Macintosh 2 Windows
Macintosh
Reader XI Masaüstü 11.0.20 Windows ve Macintosh 2 Windows
Macintosh

Güvenlik Açığı Detayları

  • Bu güncellemeler kod yürütmesine neden olabilecek kullanım sonrası güvenlik açıkları sorununu gidermektedir (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Bu güncellemeler, kod yürütmesine neden olabilecek arabellek taşması güvenlik açığı sorununu gidermektedir
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Bu güncellemeler kod yürütmesine neden olabilecek bir bellek bozulması güvenlik açığı sorununu gidermektedir
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Bu güncellemeler, kod yürütmesine neden olabilecek tamsayı taşması güvenlik açığı sorununu gidermektedir (CVE-
    2017-3011, CVE-2017-3034).
  • Bu güncellemeler kod yürütmesine neden olabilecek bir bellek sızıntısı güvenlik açığı sorununu gidermektedir
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Bu güncellemeler kod yürütmesine neden olabilecek kaynakları bulmak için dizin arama yolundaki güvenlik açıklarını çözer
    (CVE-2017-3012, CVE-2017-3013).

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere
Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Trend Micro Zero Day Initiative ile çalışan Nicolas Gregoire - Agarri (CVE-2017-3031)
  • ART&UESTC's Neklab ile çalışan Weizhong Qian, Fuhao Li and Huinian Yang (CVE-2017-3037)
  • iDefense Vulnerability Contributor Program (VCP) aracılığıyla isimsiz bir şekilde bildirilmiştir (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • Trend Micro's Zero Day Initiative ile çalışan riusksk (CVE-2017-3040)
  • Trend Micro Zero Day Initiative ile çalışan Qihoo360 CodeSafe Takımı üyesi LiuBenjin (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Trend Micro's Zero Day Initiative ile çalışan Keen Takımı (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • Trend Micro's Zero Day Initiative ile çalışan AbdulAziz Hariri ve yine Trend Micro's Zero Day Initiative ile çalışan Offensive
    Security Takımı üyesi Steven Seeley (mr_me) (CVE-2017-3042)
  • AbdulAziz Hariri, Trend Micro's Zero Day Initiative (-2017-, CVE-3043)
  • iDefense Güvenlik Açığı Katılımcı Programı (VCP) vasıtasıyla Ashfaq Ansari - Project Srishti (CVE-2017-
    3038)
  • Offensive Security Takımından Steven Seeley (mr_me) (CVE-2017-3026, CVE-2017-3054)
  • Tencent Güvenlik Platformu Bölümünden kimyok (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • Trend Micro Zero Day Initiative ile çalışan kdot (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Trend Micro's Zero Day Initiative ile çalışan Offensive Security Takımı üyesi Steven Seeley (mr_me)
    (CVE-2017-3047, CVE-2017-3049)
  • Trend Micro's Zero Day Initiative ile çalışan Offensive Security Takımı üyesi Steven Seeley (mr_me) ve Tencent Xuanwu LAB'den Ke Liu (CVE-2017-3050)
  • Ke Liu, Tencent's Xuanwu LAB (CVE-2017-3012, CVE-2017-3015)
  • Trend Micro's Zero Day Initiative ile çalışan soiax (CVE-2017-3022)
  • Trend Micro's Zero Day Initiative ile çalışan Sebastian Apelt (siberas) (CVE-2017-3034, CVE-
    2017-3035)
  • Trend Micro's Zero Day Initiative ile çalışan Tencent's Xuanwu LAB üyesi Ke Liu (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • GeekPwn vasıtasıyla Tencent PC Manager üyesi Jun Mao (CVE-2017-3011)
  • Trend Micro's Zero Day Initiative ile çalışan STEALIEN üyesi Giwan Go (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Revizyonlar

27 Nisan 2017: Bültenden sehven çıkarılan CVE-2017-3050'ye teşekkür kısmı güncellendi.

11 Mayıs 2017: Bültenden sehven çıkarılan CVE-2017-3040'ye teşekkür kısmı güncellendi.