Adobe Acrobat ve Reader için Güvenlik Güncellemeleri Mevcut | APSB17-24
Bülten No Yayınlandığı Tarih Öncelik
APSB17-24 8 Ağustos 2017 2

Özet

Adobe Windows ve Macintosh'ta Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler potansiyel olarak bir saldırganın etkilenen sistemin kontrolünü ele geçirmesini sağlayabilecek Kritik ve Önemli derecelerdeki güvenlik açıkları içindir.

Etkilenen Sürümler

Bu güncellemeler yazılımdaki kritik güvenlik açıklarına yöneliktir. Adobe aşağıdaki öncelik derecelendirmelerini bu güncellemelere tahsis edecektir:

Ürün Etkilenen Sürümler Platform
Acrobat DC (Continuous Track) 2017.009.20058 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC (Continuous Track) 2017.009.20058 ve önceki sürümler
Windows ve Macintosh
     
Acrobat 2017 2017.008.30051 ve önceki sürümler Windows ve Macintosh
Acrobat Reader 2017 2017.008.30051 ve önceki sürümler Windows ve Macintosh
     
Acrobat DC (Classic Track) 2015.006.30306 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30306 ve önceki sürümler
Windows ve Macintosh
     
Acrobat XI 11.0.20 ve önceki sürümler Windows ve Macintosh
Reader XI 11.0.20 ve önceki sürümler Windows ve Macintosh

Acrobat DC ile ilgili sorularınız için lütfen Acrobat DC SSS sayfasını ziyaret edin.

Acrobat Reader DC ile ilgili daha fazla bilgi edinmek için, lütfen Acrobat Reader DC SSS sayfasınıziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
  • Güncellemeler algılandığında kullanıcı müdahelesi gerekmeden ürünler otomatik olarak güncellenecektir.
  • Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
  • İstediğiniz yöntem ile güncellemeleri kurun, örneğin; AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) veya Macintosh'da, Apple Uzaktan Masaüstü ve SSH.

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC (Continuous Track) 2017.012.20098
Windows ve Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 Windows ve Macintosh 2 Karşıdan Yükleme Merkezi
         
Acrobat 2017 2017.011.30066 Windows ve Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows ve Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30355
Windows ve Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 
Windows ve Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows ve Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows ve Macintosh 2 Windows
Macintosh

Not:

11.0.22 versiyonu, 11.0.21'de XFA formlarında meydana gelen fonksiyonel gerilemeden etkilenen kullanıcılar tarafından kullanılabilir (daha fazla bilgi için buraya bakın). Hem 11.0.22 hem de 11.0.21 bu bültende atıfta bulunulan tüm güvenlik açıklarını çözer.

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numaraları
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-3016
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-3038
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-3113
Veri Doğruluğunun Yetersiz Onaylanması Bilgilerin Açığa Çıkması Önemli CVE-2017-3115
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-3116
Yığın Taşması Uzaktan Kod Yürütme Kritik CVE-2017-3117
Güvenlik Baypası Bilgilerin Açığa Çıkması Önemli CVE-2017-3118
Bellek Bozulması Uzaktan Kod Yürütme Önemli CVE-2017-3119
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-3120
Yığın Taşması Uzaktan Kod Yürütme Kritik CVE-2017-3121
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-3122
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-3123
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-3124
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11209
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11210
Yığın Taşması Uzaktan Kod Yürütme Kritik CVE-2017-11211
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11212
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11214
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11216
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11217
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11218
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11219
Yığın Taşması Uzaktan Kod Yürütme Kritik CVE-2017-11220
Tür Karışıklığı Uzaktan Kod Yürütme Kritik CVE-2017-11221
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11222
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11223
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11224
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11226
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11227
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11228
Güvenlik Baypası Uzaktan Kod Yürütme Önemli CVE-2017-11229
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11230
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11231
Use After Free Zafiyeti Bilgilerin Açığa Çıkması Önemli CVE-2017-11232
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11233
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11234
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11235
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11236
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11237
Bellek Bozulması Bilgilerin Açığa Çıkması Kritik CVE-2017-11238
Bellek Bozulması Bilgilerin Açığa Çıkması Kritik CVE-2017-11239
Yığın Taşması Uzaktan Kod Yürütme Kritik CVE-2017-11241
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11242
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11243
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11244
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11245
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11246
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11248
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11249
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11251
Bellek Bozulması Bilgilerin Açığa Çıkması Kritik CVE-2017-11252
Use After Free Zafiyeti Uzaktan Kod Yürütme Önemli CVE-2017-11254
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11255
Use After Free Zafiyeti Uzaktan Kod Yürütme Kritik CVE-2017-11256
Tür Karışıklığı Uzaktan Kod Yürütme Kritik CVE-2017-11257
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11258
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11259
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11260
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11261
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11262
Bellek Bozulması Uzaktan Kod Yürütme Önemli CVE-2017-11263
Bellek Bozulması Bilgilerin Açığa Çıkması Önemli CVE-2017-11265
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11267
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11268
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11269
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11270
Bellek Bozulması Uzaktan Kod Yürütme Kritik CVE-2017-11271

Not:

CVE-2017-3038, 2017.009.20044 ve 2015.006.30306'da (Nisan 2017 sürümü) çözüldü ancak onarım 11.0.20 versiyonu için tamamlanamadı. Bu güvenlik açığı 11.0.21 versiyonunda (Ağustos 2017 sürümü) tamamen düzeltildi.  

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere
Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • @Trend Micro's Zero Day Initiative ile birlikte çalışan vftable (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic, Cisco Talos (CVE-2017-11263)
  • Cure 53'ten Alex Infuhr (CVE-2017-11229)
  • Project Srishti'den Ashfaq Ansari (CVE-2017-11221)
  • iDefense Vulnerability Contributor Program'la beraber çalışan Project Srishti'den Ashfaq Ansari (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Trend Micro's Zero Day Initiative aracılığıyla anonim olarak bildirilmiştir (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Trend Micro's Zero Day Initiative ile beraber çalışan Fernando Munoz (CVE-2017-3115)
  • Trend Micro's Zero Day Initiative ile beraber çalışan STEALIEN & HIT'ten Giwan Go (CVE-2017-11228, CVE-2017-11230)
  • Heige (namı diğer SuperHei) (CVE-2017-11222)
  • Trend Micro's Zero Day Initiative ile beraber çalışan Jaanus Kp Clarified Security (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Trend Micro's Zero Day Initiative ile beraber çalışan Jaanus Kp Clarified Security ve Trend Micro's Zero Day Initiative ile beraber çalışan Ashfaq Ansari - Project Srishti (CVE-2017-11231)
  • Jihui Lu, Tencent KeenLab (CVE-2017-3119)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan kdot (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Tencent's Xuanwu LAB'den Ke Liu (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Tencent's Xuanwu LAB'den Ke Liu ve Offensive Security'den Steven Seeley (mr_me) (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Beyond Security's SecuriTeam Secure Disclosure Program'la çalışan Siberas (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk, Tencent Security Platform Department (CVE-2017-3016)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Sebastian Apelt siberas (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Offensive Security'den Steven Seeley (mr_me) (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Beyond Security’s SecuriTeam Secure Disclosure Program ile birlikte çalışan Steven Seeley (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226)
  • Toan Pham (CVE-2017-3116)

Revizyonlar

29 Ağustos 2017: 29 Ağustos itibarıyla mevcut olan güncellemeleri göstermek için Çözümtablosu güncellenmiştir. Bu güncellemeler bazı kullanıcıları etkileyen XFA form işlevlerindeki fonksiyonel gerileme sorununu çözer. 29 Ağustos sürümleri aynı zamanda CVE-2017-11223 güvenlik açığını da çözer.

CVE-2017-11223, başlangıçta 8 Ağustos güncellemelerinde (2017.012.20093, 2017.011.30059 ve 2015.006.30352 sürümleri) ele alındı, ancak bu sürümlerdeki fonksiyonel gerilemeleri sebebiyle CVE-2017-11223 için olan onarımları eski haline getiren geçici düzeltmeler önerildi. 29 Ağustos sürümleri hem gerileme sorununu çözer hem de CVE-2017-11223 için onarım sağlar. Daha fazla bilgi için bu blog gönderisine bakın.