Adobe Acrobat 和 Reader 的安全性更新已推出 | APSB17-36
安全性公告 ID 發佈日期 優先順序
APSB17-36 2017 年 11 月 14 日 2

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 受影響的版本 平台
Acrobat DC (Continuous 版) 2017.012.20098 及舊版
Windows 與 Macintosh
Acrobat Reader DC (Continuous 版) 2017.012.20098 及舊版
Windows 與 Macintosh
     
Acrobat 2017 2017.011.30066 及舊版 Windows 與 Macintosh
Acrobat Reader 2017 2017.011.30066 及舊版 Windows 與 Macintosh
     
Acrobat DC (Classic 版) 2015.006.30355 及舊版
Windows 與 Macintosh
Acrobat Reader DC (Classic 版) 2015.006.30355 及舊版
Windows 與 Macintosh
     
Acrobat XI 11.0.22 及舊版 Windows 與 Macintosh
Reader XI 11.0.22 及舊版 Windows 與 Macintosh

如需 Acrobat DC 的詳細資訊,請前往 Acrobat DC 常見問題集頁面

如需 Acrobat Reader DC 的詳細資訊,請前往 Acrobat Reader DC 常見問題集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM
    (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 更新版本 平台 優先順序分級 上市情況
Acrobat DC (Continuous 版) 2018.009.20044
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous 版) 2018.009.20044
Windows 與 Macintosh 2 下載中心
         
Acrobat 2017 2017.011.30068 Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows 與 Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic 版) 2015.006.30392
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic 版) 2015.006.30392 
Windows 與 Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows 與 Macintosh 2 Windows
Macintosh

註解:

如這份舊版公告中所說,我們已在 2017 年 10 月 15 日結束對 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的支援。11.0.23 版是 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的最後版本。Adobe 強烈建議您更新至最新版本的 Adobe Acrobat DC 和 Adobe Acrobat Reader DC。安裝最新版本的更新後,您將能獲得最新的功能強化與改善的安全措施。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
未初始化指標的存取 遠端程式碼執行
重大 CVE-2017-16377
CVE-2017-16378
使用釋放後記憶體 (Use After Free) 遠端程式碼執行
重大 CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
使用錯誤長度值的緩衝存取 遠端程式碼執行 重大 CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
緩衝過度讀取 遠端程式碼執行 重大 CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
緩衝溢位/反向溢位 遠端程式碼執行 重大 CVE-2017-16368
堆積溢位 遠端程式碼執行 重大 CVE-2017-16383
陣列索引的不當驗證 遠端程式碼執行 重大

CVE-2017-16391
CVE-2017-16410

超出範圍讀取 遠端程式碼執行 重大 CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
超出範圍寫入 遠端程式碼執行 重大 CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
安全性略過 偷渡式下載 重要
CVE-2017-16361
CVE-2017-16366
安全性略過 資訊洩漏 重要 CVE-2017-16369
安全性略過 遠端程式碼執行
重大
CVE-2017-16380
堆疊消耗 過多資源消耗 重要 CVE-2017-16419
類型混淆 遠端程式碼執行 重大 CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
不信任的指標取值 遠端程式碼執行 重大 CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

鳴謝

Adobe 在此感謝以下個人和組織提報
相關問題並與 Adobe 合作協助保護我們的客戶:

  • Toan Pham Van (@__suto) (CVE-2017-16362、CVE-2017-16363、CVE-2017-16364、CVE-2017-16365)
  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu (CVE-2017-16381、CVE-2017-16382、CVE-2017-16383、CVE-2017-16384、CVE-2017-16385、CVE-2017-16386、CVE-2017-16387、CVE-2017-16400, CVE-2017-16401、CVE-2017-16402、CVE-2017-16403、CVE-2017-16404)
  • 騰訊玄武實驗室的 Ke Liu (CVE-2017-16370、CVE-2017-16371、CVE-2017-16372、CVE-2017-16373、CVE-2017-16374、CVE-2017-16375)
  • 來自 Offensive Security 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (mr_me) (CVE-2017-16369)
  • TELUS Security Labs 的 Kamlapati Choubey (CVE-2017-16415)
  • Cisco Talos 的 Aleksandar Nikolic http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366、CVE-2017-16361)
  • 騰訊安全平台部門的 riusksk (泉哥) (CVE-2017-11293、CVE-2017-16408、CVE-2017-16409、CVE-2017-16410、CVE-2017-16411、CVE-2017-16399、CVE-2017-16395、CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • 北京航空航天大學的 Lin Wang (CVE-2017-16416、CVE-2017-16417、CVE-2017-16418、CVE-2017-16405)
  • 騰訊電腦管家的 willJ (CVE-2017-16406、CVE-2017-16407、CVE-2017-16419、CVE-2017-16412、CVE-2017-16413、CVE-2017-16396、CVE-2017-16397、CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376、CVE-2017-16377、CVE-2017-16378、CVE-2017-16379)
  • NCC Group Plc 的 Richard Warren (CVE-2017-16380)
  • Palo Alto Networks 的 Gal De Leon (CVE-2017-16388、CVE-2017-16389、CVE-2017-16390、CVE-2017-16393、CVE-2017-16398、CVE-2017-16414、CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • 來自 Project Srishti 並與 iDefense Labs 合作的 Ashfaq Ansari (CVE-2017-16368)