Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期: 2017 年 4 月 6 日

上次更新日期:2017 年 5 月 11 日

弱點識別碼: APSB17-11

優先順序: 2

CVE 編號: CVE-2017-3011、CVE-2017-3012、CVE-2017-3013、CVE-2017-3014、CVE-2017-3015、CVE-
2017-3017、CVE 2017-3018、CVE-2017-3019、CVE-2017-3020、CVE-2017-3021、CVE-2017-3022、CVE-
2017-3023、CVE-2017-3024、CVE-2017-3025、CVE-2017-3026、CVE-2017-3027、CVE-2017-3028、CVE-
2017-3029、CVE-2017-3030、CVE-2017-3031、CVE-2017-3032、CVE-2017-3033、CVE-2017-3034、CVE-
2017-3035、CVE-2017-3036、CVE-2017-3037、CVE-2017-3038、CVE-2017-3039、CVE-2017-3040、CVE-
2017-3041、CVE-2017-3042、CVE-2017-3043、CVE-2017-3044、CVE-2017-3045、CVE-2017-3046、CVE-
2017-3047、CVE-2017-3048、CVE-2017-3049、CVE-2017-3050、CVE-2017-3051、CVE-2017-3052、CVE-
2017-3053、CVE-2017-3054、CVE-2017-3055、CVE-2017-3056、CVE-2017-3057、CVE-2017-3065

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 15.023.20070 及舊版
Windows 與 Macintosh
Acrobat Reader DC 連續 15.023.20070 及舊版
Windows 與 Macintosh
       
Acrobat DC 傳統 15.006.30280 及舊版
Windows 與 Macintosh
Acrobat Reader DC 傳統 15.006.30280 及舊版
Windows 與 Macintosh
       
Acrobat XI 桌面 11.0.19 及舊版 Windows 與 Macintosh
Reader XI 桌面 11.0.19 及舊版 Windows 與 Macintosh

如需 Acrobat DC 的詳細資訊,請前往 Acrobat DC 常見問題集頁面

如需 Acrobat Reader DC 的詳細資訊,請前往 Acrobat Reader DC 常見問題集頁面

解決方法

Adobe 建議使用者依照下列
說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM
    (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2017.009.20044
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC 連續 2017.009.20044
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 2015.006.30306
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC 傳統 2015.006.30306 
Windows 與 Macintosh 2 Windows
Macintosh
           
Acrobat XI 桌面 11.0.20 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 桌面 11.0.20 Windows 與 Macintosh 2 Windows
Macintosh

弱點詳細資料

  • 這些更新將解決可能導致程式碼執行的記憶體釋放後使用弱點 (CVE-
    2017-3014、CVE-2017-3026、CVE-2017-3027、CVE-2017-3035、CVE-2017-3047、CVE-2017-3057)。
  • 這些更新將解決可能導致程式碼執行的堆積緩衝區溢位弱點
    (CVE-2017-3042、CVE-2017-3048、CVE-2017-3049、CVE-2017-3055)。
  • 這些更新將解決可能導致程式碼執行的記憶體損毀弱點
    (CVE-2017-3015、CVE-2017-3017、CVE-2017-3018、CVE-2017-3019、CVE-2017-3023、CVE-2017-
    3024、CVE-2017-3025、CVE-2017-3028、CVE-2017-3030、CVE-2017-3036、CVE-2017-3037、CVE-
    2017-3038、CVE-2017-3039、CVE-2017-3040、CVE-2017-3041、CVE-2017-3044、CVE-2017-3050、
    CVE-2017-3051、CVE-2017-3054、CVE-2017-3056、CVE-2017-3065)。
  • 這些更新將解決可能導致程式碼執行的整數溢位弱點 (CVE-
    2017-3011、CVE-2017-3034)。
  • 這些更新將解決可能導致記憶體位址
    洩漏的記憶體損毀弱點 (CVE-2017-3020、CVE-2017-3021、CVE-2017-3022、CVE-2017-3029、CVE-2017-3031、CVE-
    2017-3032、CVE-2017-3033、CVE-2017-3043、CVE-2017-3045、CVE-2017-3046、CVE-2017-3052、
    CVE-2017-3053)。
  • 這些更新將解決用於尋找資源的目錄搜尋路徑中的弱點
    ,這些弱點可能導致程式碼執行 (CVE-2017-3012、CVE-2017-3013)。

鳴謝

Adobe 在此感謝以下個人和組織提報
相關問題並與 Adobe 合作協助保護我們的客戶:

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Nicolas Grgoire (Agarri) (CVE-2017-3031)
  • ART&UESTC's Neklab 的 Weizhong Qian、Fuhao Li 及 Huinian Yang (CVE-2017-3037)
  • 透過 iDefense 漏洞貢獻者計畫 (VCP) 回報的匿名人士 (CVE-2017-3014、
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 riusksk (CVE-2017-3040)
  • 來自 Qihoo360 CodeSafe Team 並與趨勢科技零時差漏洞懸賞計畫合作的 LiuBenjin (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Keen Team (CVE-2017-3056、CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • 趨勢科技零時差漏洞懸賞計畫的 AbdulAziz Hariri 和來自 Offensive
    Security 並與趨勢科技零時差漏洞懸賞計畫攜手合作的 Steven Seeley (mr_me) (CVE-2017-3042)
  • 趨勢科技零時差漏洞懸賞計畫的 AbdulAziz Hariri (CVE-2017-3043)
  • 透過 iDefense Vulnerability Contributor Program (VCP) 回報的 Ashfaq Ansari (Project Srishti) (CVE-2017-
    3038)
  • Offensive Security 的 Steven Seeley (mr_me) (CVE-2017-3026、CVE-2017-3054)
  • Tencent 安全平台部門的 kimyok (CVE-2017-3017、CVE-2017-3018、CVE-2017-3024、CVE-2017-3025、CVE-2017-3065)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 kdot (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • 來自 Offensive Security 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (mr_me)
    (CVE-2017-3047、CVE-2017-3049)
  • 來自 Offensive Security 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (mr_me) 以及來自騰訊玄武實驗室的 Ke Liu (CVE-2017-3050)
  • Tencent 玄武實驗室的 Ke Liu (CVE-2017-3012、CVE-2017-3015)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 soiax (CVE-2017-3022)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt (Siberas) (CVE-2017-3034、CVE-
    2017-3035)
  • 來自 Tencent 玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu (CVE-2017-3020、
    CVE-2017-3021、CVE-2017-3023、CVE-2017-3028、CVE-2017-3036、CVE-2017-3048、CVE-2017-
    3051、CVE-2017-3052、CVE-2017-3053)
  • 來自 Tencent PC Manager 的 Jun Mao 透過 GeekPwn 回報 (CVE-2017-3011)
  • 來自 STEALIEN 並與趨勢科技零時差漏洞懸賞計畫合作的 Giwan Go (CVE-2017-3029、CVE-
    2017-3032、CVE-2017-3033、CVE-2017-3044、CVE-2017-3045、CVE-2017-3046)

修訂

2017 年 4 月 27 日:更新不慎在確認公告中遺漏的 CVE-2017-3050。

2017 年 5 月 11 日: 更新不慎在確認公告中遺漏的 CVE-2017-3040。