Adobe Acrobat ve Reader için Güvenlik Güncellemeleri Mevcut | APSB17-24
Yayınlandığı Tarih |
Öncelik |
|
---|---|---|
APSB17-24 |
8 Ağustos 2017 |
2 |
Özet
Etkilenen Sürümler
Acrobat DC ile ilgili sorularınız için lütfen Acrobat DC SSS sayfasını ziyaret edin.
Acrobat Reader DC ile ilgili daha fazla bilgi edinmek için, lütfen Acrobat Reader DC SSS sayfasınıziyaret edin.
Çözüm
Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:
- Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
- Güncellemeler algılandığında kullanıcı müdahelesi gerekmeden ürünler otomatik olarak güncellenecektir.
- Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.
IT yöneticileri için (yönetilen ortamlar):
- ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
- İstediğiniz yöntem ile güncellemeleri kurun, örneğin; AIP-GPO, bootstrapper, SCUP/SCCM
(Windows) veya Macintosh'da, Apple Uzaktan Masaüstü ve SSH.
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
Ürün | Güncel Sürümler | Platform | Öncelik Derecelendirmesi | Bulunma Durumu |
---|---|---|---|---|
Acrobat DC (Continuous Track) | 2017.012.20098 |
Windows ve Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC (Continuous Track) | 2017.012.20098 | Windows ve Macintosh | 2 | İndirme Merkezi |
Acrobat 2017 | 2017.011.30066 | Windows ve Macintosh | 2 | Windows Macintosh |
Acrobat Reader 2017 | 2017.011.30066 | Windows ve Macintosh | 2 | Windows Macintosh |
Acrobat DC (Classic Track) | 2015.006.30355 |
Windows ve Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC (Classic Track) | 2015.006.30355 |
Windows ve Macintosh | 2 | Windows Macintosh |
Acrobat XI | 11.0.21 | Windows ve Macintosh | 2 | Windows Macintosh |
Reader XI | 11.0.21 | Windows ve Macintosh | 2 | Windows Macintosh |
11.0.22 versiyonu, 11.0.21'de XFA formlarında meydana gelen fonksiyonel gerilemeden etkilenen kullanıcılar tarafından kullanılabilir (daha fazla bilgi için buraya bakın). Hem 11.0.22 hem de 11.0.21 bu bültende atıfta bulunulan tüm güvenlik açıklarını çözer.
Güvenlik Açığı Detayları
Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVE Numaraları |
---|---|---|---|
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3016 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3038 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-3113 |
Veri Doğruluğunun Yetersiz Onaylanması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-3115 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3116 |
Yığın Taşması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3117 |
Güvenlik Baypası | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-3118 |
Bellek Bozulması | Uzaktan Kod Yürütme | Önemli | CVE-2017-3119 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-3120 |
Yığın Taşması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3121 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-3122 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3123 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-3124 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11209 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11210 |
Yığın Taşması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11211 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11212 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11214 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11216 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11217 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11218 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11219 |
Yığın Taşması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11220 |
Tür Karışıklığı | Uzaktan Kod Yürütme | Kritik | CVE-2017-11221 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11222 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11223 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11224 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11226 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11227 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11228 |
Güvenlik Baypası | Uzaktan Kod Yürütme | Önemli | CVE-2017-11229 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11230 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11231 |
Use After Free Zafiyeti | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11232 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11233 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11234 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11235 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11236 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11237 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Kritik | CVE-2017-11238 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Kritik | CVE-2017-11239 |
Yığın Taşması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11241 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11242 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11243 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11244 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11245 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11246 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11248 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11249 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11251 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Kritik | CVE-2017-11252 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Önemli | CVE-2017-11254 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11255 |
Use After Free Zafiyeti | Uzaktan Kod Yürütme | Kritik | CVE-2017-11256 |
Tür Karışıklığı | Uzaktan Kod Yürütme | Kritik | CVE-2017-11257 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11258 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11259 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11260 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11261 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11262 |
Bellek Bozulması | Uzaktan Kod Yürütme | Önemli | CVE-2017-11263 |
Bellek Bozulması | Bilgilerin Açığa Çıkması | Önemli | CVE-2017-11265 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11267 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11268 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11269 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11270 |
Bellek Bozulması | Uzaktan Kod Yürütme | Kritik | CVE-2017-11271 |
CVE-2017-3038, 2017.009.20044 ve 2015.006.30306'da (Nisan 2017 sürümü) çözüldü ancak onarım 11.0.20 versiyonu için tamamlanamadı. Bu güvenlik açığı 11.0.21 versiyonunda (Ağustos 2017 sürümü) tamamen düzeltildi.
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere
Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:
- @Trend Micro's Zero Day Initiative ile birlikte çalışan vftable (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic, Cisco Talos (CVE-2017-11263)
- Cure 53'ten Alex Infuhr (CVE-2017-11229)
- Project Srishti'den Ashfaq Ansari (CVE-2017-11221)
- iDefense Vulnerability Contributor Program'la beraber çalışan Project Srishti'den Ashfaq Ansari (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Trend Micro's Zero Day Initiative aracılığıyla anonim olarak bildirilmiştir (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Trend Micro's Zero Day Initiative ile beraber çalışan Fernando Munoz (CVE-2017-3115)
- Trend Micro's Zero Day Initiative ile beraber çalışan STEALIEN & HIT'ten Giwan Go (CVE-2017-11228, CVE-2017-11230)
- Knwonsec 404 Team'den (CVE-2017-11222) Heige (SuperHei)
- Trend Micro's Zero Day Initiative ile beraber çalışan Jaanus Kp Clarified Security (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Trend Micro's Zero Day Initiative ile beraber çalışan Jaanus Kp Clarified Security ve Trend Micro's Zero Day Initiative ile beraber çalışan Ashfaq Ansari - Project Srishti (CVE-2017-11231)
- Jihui Lu, Tencent KeenLab (CVE-2017-3119)
- Trend Micro's Zero Day Initiative ile birlikte çalışan kdot (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Trend Micro's Zero Day Initiative ile birlikte çalışan Tencent's Xuanwu LAB'den Ke Liu (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Trend Micro's Zero Day Initiative ile birlikte çalışan Tencent's Xuanwu LAB'den Ke Liu ve Offensive Security'den Steven Seeley (mr_me) (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Beyond Security's SecuriTeam Secure Disclosure Program'la çalışan Siberas (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk, Tencent Security Platform Department (CVE-2017-3016)
- Trend Micro's Zero Day Initiative ile birlikte çalışan Sebastian Apelt siberas (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Trend Micro's Zero Day Initiative ile birlikte çalışan Offensive Security'den Steven Seeley (mr_me) (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Beyond Security’s SecuriTeam Secure Disclosure Program ile birlikte çalışan Steven Seeley (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226)
- Toan Pham (CVE-2017-3116)
Revizyonlar
29 Ağustos 2017: 29 Ağustos itibarıyla mevcut olan güncellemeleri göstermek için Çözümtablosu güncellenmiştir. Bu güncellemeler bazı kullanıcıları etkileyen XFA form işlevlerindeki fonksiyonel gerileme sorununu çözer. 29 Ağustos sürümleri aynı zamanda CVE-2017-11223 güvenlik açığını da çözer.
CVE-2017-11223, başlangıçta 8 Ağustos güncellemelerinde (2017.012.20093, 2017.011.30059 ve 2015.006.30352 sürümleri) ele alındı, ancak bu sürümlerdeki fonksiyonel gerilemeleri sebebiyle CVE-2017-11223 için olan onarımları eski haline getiren geçici düzeltmeler önerildi. 29 Ağustos sürümleri hem gerileme sorununu çözer hem de CVE-2017-11223 için onarım sağlar. Daha fazla bilgi için bu blog gönderisine bakın.