Adobe Acrobat ve Reader için Güvenlik Bülteni | APSB18-21
Bülten No Yayınlandığı Tarih Öncelik
APSB18-21 10 Temmuz 2018 2

Özet

Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler kritik ve önemli güvenlik açıklarına yöneliktir.Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform Öncelik derecelendirmesi
Acrobat DC  Sürekli
2018.011.20040 ve önceki sürümler 
Windows ve macOS 2
Acrobat Reader DC Sürekli
2018.011.20040 ve önceki sürümler 
Windows ve macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 ve önceki sürümler Windows ve macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 ve önceki sürümler Windows ve macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 ve önceki sürümler
Windows ve macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 ve önceki sürümler
Windows ve macOS 2

Acrobat DC ile ilgili sorular için, lütfen Acrobat DC FAQ page adresini ziyaret edin.

Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC FAQ page
adresini ziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
  • Güncellemeler algılandığında kullanıcı müdahelesi gerekmeden ürünler otomatik olarak güncellenecektir.
  • Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
  • İstediğiniz yöntem ile güncellemeleri kurun. Örneğin AIP-GPO, bootstrapper, SCUP/SCCM (Windows) veya macOS'ta, Apple Uzaktan Masaüstü ve SSH.

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Sürekli 2018.011.20055
Windows ve macOS 2
Windows
macOS
Acrobat Reader DC Sürekli 2018.011.20055
Windows ve macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows ve macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows ve macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows ve macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows ve macOS 2
Windows
macOS

Not:

Önceki duyuruda belirtildiği üzere Adobe Acrobat 11.x ve Adobe Reader 11.x desteği 15 Ekim 2017'de sona ermiştir.  Adobe Acrobat 11.x ve Adobe Reader 11.x için son sürüm 11.0.23'tür.  Adobe, Adobe Acrobat DC ve Adobe Acrobat Reader DC'nin son sürümlerine güncelleme yapmanızı şiddetle tavsiye eder. Programları en son sürümlerine güncellediğinizde en yeni fonksiyonel geliştirmelerden ve iyileştirilmiş güvenlik önlemlerinden faydalanabilirsiniz.

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Double Free
Rastgele Kod Yürütme Kritik CVE-2018-12782
Yığın Taşması
Rastgele Kod Yürütme
Kritik CVE-2018-5015, CVE-2018-5028,   CVE-2018-5032, CVE-2018-5036,   CVE-2018-5038, CVE-2018-5040,   CVE-2018-5041, CVE-2018-5045,   CVE-2018-5052, CVE-2018-5058,   CVE-2018-5067, CVE-2018-12785, CVE-2018-12788, CVE-2018-12798
Kullanım-sonrası-serbest 
Rastgele Kod Yürütme
Kritik CVE-2018-5009, CVE-2018-5011,   CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796, CVE-2018-12797  
Sınır dışı yazma 
Rastgele Kod Yürütme
Kritik CVE-2018-5020, CVE-2018-5021,   CVE-2018-5042, CVE-2018-5059,   CVE-2018-5064, CVE-2018-5069,   CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771, CVE-2018-12787
Güvenlik Baypası Ayrıcalığı Yükseltme
Kritik
CVE-2018-12802
Sınır dışı okuma Bilgilerin Açığa Çıkması Önemli CVE-2018-5010, CVE-2018-12803,  CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790, CVE-2018-12795
Tür Karışıklığı Rastgele Kod Yürütme Kritik CVE-2018-5057, CVE-2018-12793, CVE-2018-12794
Güvenilmeyen işaretçi başvurusu  Rastgele Kod Yürütme Kritik CVE-2018-5012, CVE-2018-5030
Arabellek Hataları
Rastgele Kod Yürütme Kritik CVE-2018-5034, CVE-2018-5037, CVE-2018-5043, CVE-2018-12784

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Gal De Leon, Palo Alto Networks (CVE-2018-5009, CVE-2018-5066)

  • Trend Micro's Zero Day Initiative aracılığıyla anonim raporlama (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783,CVE-2018-12795, CVE-2018-12797)

  • Trend Micro's Zero Day Initiative aracılığıyla Tencent PC Manager'dan WillJ (CVE-2018-5058, CVE-2018-5063, CVE-2018-5065)

  • Trend Micro's Zero Day Initiative aracılığıyla Steven Seeley (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793, CVE-2018-12796) 

  • Trend Micro's Zero Day Initiative aracılığıyla Tencent's Xuanwu LAB'den Ke Liu (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • Trend Micro's Zero Day Initiative aracılığıyla Sebastian Apelt siberas (CVE-2018-12794)

  • Chengdu Qihoo360 Tech Co. Ltd.'den Zhiyuan Wang (CVE-2018-12758)

  • Beihang University'den Lin Wang (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787, CVE-2018-5067) 

  • Qihoo 360 Vulcan Team'den Zhenjie Jia (CVE-2018-12757)

  • Check Point Software Technologies'den Netanel Ben Simon ve Yoav Alon (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767. CVE-2018-12768)

  • Cisco Talos'tan Aleksandar Nikolic (CVE-2018-12756)

  • Kaspersky Lab'den Vladislav Stolyarov (, CVE-2018-5011) 

  • Tencent's Xuanwu Lab'den Ke Liu (CVE-2018-12785, CVE-2018-12786)

  • Trend Micro's Zero Day Initiative aracılığıyla Kdot (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054, CVE-2018-5020)

  • Trend Micro's Zero Day Initiative ile birlikte çalışan Trend Micro'dan Pengsu Cheng (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790, CVE-2018-5056)

  • Trend Micro's Zero Day Initiative ile birlikte çalışan Ron Waisberg (CVE-2018-5062, CVE-2018-12788, CVE-2018-12789) 

  • iDefense Labs ile birlikte çalışan Source Incite'den Steven Seeley (mr_me) (CVE-2018-12791, CVE-2018-12792, CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • TCA/SKLCS Institute of Software Chinese Academy of Sciences'dan XuPeng ve Baidu Security Lab'den HuangZheng (CVE-2018-12782)

  • Anonim olarak bildirilmiştir (CVE-2018-12784, CVE-2018-5009)

  • Trend Micro's Zero Day Initiative - ile birlikte çalışan Source Incite'den mr_me (CVE-2018-12761)

  • Palo Alto Networks'den Zhanglin He ve Bo Qu (CVE-2018-5023, CVE-2018-5024)

  • Palo Alto Networks'den Bo Qu ve Knownsec 404 Security Team'den Heige (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025, CVE-2018-5026)