Adobe 安全性公告

Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期: 2017 年 1 月 5 日

上次更新:2017 年 3 月 30 日

弱點識別碼: APSB17-01

優先順序: 2

CVE 編號: CVE-2017-2939、CVE-2017-2940、CVE-2017-2941、CVE-2017-2942、CVE-2017-2943、CVE-2017-2944、CVE-2017-2945、CVE-2017-2946、CVE-2017-2947、CVE-2017-2948、CVE-2017-2949、CVE-2017-2950、CVE-2017-2951、CVE-2017-2952、CVE-2017-2953、CVE-2017-2954、CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958、CVE-2017-2959、CVE-2017-2960、CVE-2017-2961、CVE-2017-2962、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2966、CVE-2017-2967、CVE-2017-2970、CVE-2017-2971、CVE-2017-2972、CVE-2017-3009、CVE-2017-3010

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 15.020.20042 及舊版
Windows 與 Macintosh
Acrobat Reader DC 連續 15.020.20042 及舊版
Windows 與 Macintosh
       
Acrobat DC 傳統 15.006.30244 及舊版
Windows 與 Macintosh
Acrobat Reader DC 傳統 15.006.30244 及舊版
Windows 與 Macintosh
       
Acrobat XI 桌面 11.0.18 及舊版 Windows 與 Macintosh
Reader XI 桌面 11.0.18 及舊版 Windows 與 Macintosh

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面。如有 Acrobat Reader DC 的相關問題,請前往 Adobe Acrobat Reader DC 常見問題解答集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。 
  • 偵測到更新時,產品會自動更新,使用者無須操作。 
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 15.023.20053
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC 連續 15.023.20053
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 15.006.30279
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC 傳統 15.006.30279
Windows 與 Macintosh 2 Windows
Macintosh
           
Acrobat XI 桌面 11.0.19 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 桌面 11.0.19 Windows 與 Macintosh 2 Windows
Macintosh

弱點詳細資料

  • 這些更新可解決可能導致程式碼執行的類型混淆弱點 (CVE-2017-2962)。
  • 這些更新可解決可能導致程式碼執行的釋放後繼續使用 (Use-After-Free) 弱點 (CVE-2017-2950、CVE-2017-2951、CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958、CVE-2017-2961)。
  • 這些更新可解決可能導致程式碼執行的堆積緩衝區溢位弱點 (CVE-2017-2942、CVE-2017-2945、CVE-2017-2946、CVE-2017-2949、CVE-2017-2959、CVE-2017-2966、CVE-2017-2970、CVE-2017-2971、CVE-2017-2972)。
  • 這些更新可解決可能導致程式碼執行的緩衝區溢位弱點 (CVE-2017-2948、CVE-2017-2952)。
  • 這些更新能解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2017-2939、CVE-2017-2940、CVE-2017-2941、CVE-2017-2943、CVE-2017-2944、CVE-2017-2953、CVE-2017-2954、CVE-2017-2960、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2967、CVE-2017-3010)。
  • 這些更新可解決略過安全性弱點 (CVE-2017-2947)。
  • 這些更新可解決可能導致資訊揭露的緩衝區溢位弱點 (CVE-2017-3009)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Clarified Security 的 Jaanus Kääp 以及與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2017-2939)
  • 騰訊 PC Manager 的 kelvinwang (CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958)
  • Source Incite 中與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley 以及 Fortinet 旗下 FortiGuard Labs 的 Kushal Arvind Shah (CVE-2017-2946)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt (siberas) (CVE-2017-2961、CVE-2017-2967)
  • 騰訊玄武實驗室的 Ke Liu (CVE-2017-2940、CVE-2017-2942、CVE-2017-2943、CVE-2017-2944、CVE-2017-2945、CVE-2017-2952、CVE-2017-2953、CVE-2017-2954、CVE-2017-2972)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 kdot (CVE-2017-2941、CVE-2017-3009)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Nicolas Grgoire (Agarri) (CVE-2017-2962)
  • 與 iDefense Vulnerability Contributor Program 方案合作的 Nicolas Grégoire - Agarri (CVE-2017-2948)
  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2017-2951、CVE-2017-2970)
  • 與趨勢科技零時差漏洞懸賞計畫合作以及與 iDefense 合作的匿名人士 (CVE-2017-2950)
  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu 及騰訊安全平台部門的 Riusksk (泉哥) (CVE-2017-2959)
  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu (CVE-2017-2960、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2966)
  • 南洋理工大學的 Wei Lei 和 Liu Yang、與趨勢科技零時差漏洞懸賞計畫合作的匿名人士,以及與 iDefense 漏洞貢獻者合作的 Nicolas Grégoire (Agarri) (CVE-2017-2949)
  • Cure53.de 的 Alex Inführ (CVE-2017-2947)
  • Cisco Talos 的 Aleksandar Nikolic (CVE-2017-2971)
  • Fortinet FortiGuard Labs 的 Kushal Arvind Shah 和 Peixue Li (CVE-2017-3010)

修訂

2017 年 1 月 20 日:新增不慎在公告中遺漏的 CVE-2017-2970、CVE-2017-2971 和 CVE-2017-2972 之相關參照。

2017 年 2 月 16 日: 更新不慎在確認公告中遺漏的 CVE-2017-2939、CVE-2017-2946、CVE-2017-2949、CVE-2017-2950 和 CVE-2017-2959。

2017 年 3 月 30 日: 新不慎在確認公告中遺漏的 CVE-2017-3009 和 CVE-2017-3010。