Adobe Acrobat ve Reader için Güvenlik Bülteni | APSB18-30
Bülten No Yayınlandığı Tarih Öncelik
APSB18-30 1 Ekim 2018 2

Özet

Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler kritik ve önemli güvenlik açıklarına yöneliktir.  Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform Öncelik derecelendirmesi
Acrobat DC  Sürekli
2018.011.20063 ve önceki sürümler 
Windows ve macOS 2
Acrobat Reader DC Sürekli
2018.011.20063 ve önceki sürümler 
Windows ve macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 ve önceki sürümler Windows ve macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 ve önceki sürümler Windows ve macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 ve önceki sürümler
Windows ve macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 ve önceki sürümler
Windows ve macOS 2

Acrobat DC ile ilgili sorular için, lütfen Acrobat DC FAQ page adresini ziyaret edin.

Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC FAQ page
adresini ziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.
  • Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
  • İstediğiniz yöntem ile güncellemeleri kurun. Örneğin AIP-GPO, bootstrapper, SCUP/SCCM (Windows) veya macOS'ta, Apple Uzaktan Masaüstü ve SSH.

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Sürekli 2019.008.20071
Windows ve macOS 2
Windows
macOS
Acrobat Reader DC Sürekli 2019.008.20071
Windows ve macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows ve macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows ve macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows ve macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows ve macOS 2
Windows
macOS

Not:

Önceki duyuruda belirtildiği üzere Adobe Acrobat 11.x ve Adobe Reader 11.x desteği 15 Ekim 2017'de sona ermiştir.  Adobe Acrobat 11.x ve Adobe Reader 11.x için son sürüm 11.0.23'tür.  Adobe, Adobe Acrobat DC ve Adobe Acrobat Reader DC'nin son sürümlerine güncelleme yapmanızı şiddetle tavsiye eder. Programları en son sürümlerine güncellediğinizde en yeni fonksiyonel geliştirmelerden ve iyileştirilmiş güvenlik önlemlerinden faydalanabilirsiniz.

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Sınır dışı yazma 
Rastgele Kod Yürütme
Kritik

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Sınır dışı okuma Bilgilerin Açığa Çıkması Önemli

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Yığın Taşması

Rastgele Kod Yürütme

Kritik

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Use After Free Zafiyeti

Rastgele Kod Yürütme

Kritik

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Tür Karışıklığı

Rastgele Kod Yürütme

Kritik

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Yığın Taşması

Bilgilerin Açığa Çıkması

Önemli

CVE-2018-12838

Double Free

Rastgele Kod Yürütme

Kritik

 

CVE-2018-12841

Tam Sayı Taşması

Bilgilerin Açığa Çıkması

Önemli

CVE-2018-12881,

CVE-2018-12842

Arabellek Hataları

Rastgele Kod Yürütme

Kritik

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Güvenilmeyen işaretçi başvurusu

Rastgele Kod Yürütme

Kritik

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Güvenlik Baypası

Ayrıcalığı Yükseltme

Kritik

CVE-2018-15966

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Trend Micro's Zero Day Initiative ile birlikte çalışan anonim (CVE-2018-12851)
  • Qihoo 360 Technology Co. Ltd., Chengdu Security Response Center'dan Zhiyuan Wang (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan willJ (CVE-2018-12856, CVE-2018-12855)
  • Trend Micro's Zero Day Initiative ile çalışan Sebastian Apelt siberas (CVE-2018-12858)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Beihang University'den Lin Wang (CVE-2018-12876, CVE-2018-12868)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Source Incite'tan Esteban Ruiz (mr_me) (CVE-2018-12879, CVE-2018-12877)
  • Trend Micro's Zero Day Initiative aracılığıyla Kamlapati Choubey (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Trend Micro's Zero Day Initiative aracılığıyla Ron Waisberg (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Cisco Talos'tan Aleksander Nikolic.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Beihang University'den Lin Wang (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Palo Alto Networks'ten Gal De Leon (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Qihoo 360 Vulcan Team'den Zhenjie Jia (CVE-2018-12831)
  • Palo Alto Networks'ten Hui Gao ve Knownsec 404 Security Team'den Heige (namıdiğer SuperHei) (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Palo Alto Networks'ten Bo Qu ve Zhibin Zhang (CVE-2018-15923, CVE-2018-15922)
  • Palo Alto Networks'ten Qi Deng ve Knownsec 404 Security Team'den Heige (namıdiğer SuperHei) (CVE-2018-15977)
  • iDefense Labs'le birlikte çalışan Source Incite'tan Esteban Ruiz (mr_me) (CVE-2018-12835)
  • iDefense Labs'den Ashfaq Ansari - Project Srishti (CVE-2018-15968)
  • Check Point Software Technologies'den Netanel Ben-Simon ve Yoav Alon (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Tencent Security Xuanwu Lab'den Ke Liu (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Tencent's Xuanwu Lab'den Wei Wei (@Danny__Wei) (CVE-2018-15966)