Adobe Acrobat 和 Reader 的安全性更新已推出 | APSB18-02
安全性公告 ID 發佈日期 優先順序
APSB18-02 2018 年 2 月 13 日 2

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 受影響的版本 平台
Acrobat DC (Continuous 版) 2018.009.20050 及更早版本 
Windows 與 Macintosh
Acrobat Reader DC (Continuous 版) 2018.009.20050 及更早版本 
Windows 與 Macintosh
     
Acrobat 2017 2017.011.30070 及更早版本 Windows 與 Macintosh
Acrobat Reader 2017 2017.011.30070 及更早版本 Windows 與 Macintosh
     
Acrobat DC (Classic 版) 2015.006.30394 及更早版本
Windows 與 Macintosh
Acrobat Reader DC (Classic 版) 2015.006.30394 及更早版本
Windows 與 Macintosh

如需 Acrobat DC 的詳細資訊,請前往 Acrobat DC 常見問題集頁面

如需 Acrobat Reader DC 的詳細資訊,請前往 Acrobat Reader DC 常見問題集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM
    (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 更新版本 平台 優先順序分級 上市情況
Acrobat DC (Continuous 版) 2018.011.20035
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous 版) 2018.011.20035
Windows 與 Macintosh 2 下載中心
         
Acrobat 2017 2017.011.30078 Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows 與 Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic 版) 2015.006.30413
Windows
2 Windows
Acrobat DC (Classic 版) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (Classic 版) 2015.006.30413
Windows 2 下載中心
Acrobat Reader DC (Classic 版) 2015.006.30416 Macintosh 2 下載中心

註解:

如這份舊版公告中所說,我們已在 2017 年 10 月 15 日結束對 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的支援。11.0.23 版是 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的最後版本。Adobe 強烈建議您更新至最新版本的 Adobe Acrobat DC 和 Adobe Acrobat Reader DC。安裝最新版本的更新後,您將能獲得最新的功能強化與改善的安全措施。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
省略安全性防護措施
權限竊取
重大 CVE-2018-4872
堆積溢位
執行任意程式碼
重大

CVE-2018-4890、CVE-2018-4904、CVE-2018-4910、CVE-2018-4917

使用已釋放記憶體 
執行任意程式碼
重大 CVE-2018-4888、CVE-2018-4892、CVE-2018-4902、CVE-2018-4911、CVE-2018-4913
超出範圍寫入 
執行任意程式碼
重大 CVE-2018-4879、CVE-2018-4895、CVE-2018-4898、CVE-2018-4901、CVE-2018-4915、CVE-2018-4916、CVE-2018-4918
超出範圍讀取
遠端程式碼執行 重要 CVE-2018-4880、CVE-2018-4881、CVE-2018-4882、CVE-2018-4883、CVE-2018-4884、CVE-2018-4885、CVE-2018-4886、CVE-2018-4887、CVE-2018-4889、CVE-2018-4891、CVE-2018-4893、CVE-2018-4894、CVE-2018-4896、CVE-2018-4897、CVE-2018-4899、CVE-2018-4900、CVE-2018-4903、CVE-2018-4905、CVE-2018-4906、CVE-2018-4907、CVE-2018-4908、CVE-2018-4909、CVE-2018-4912、CVE-2018-4914

鳴謝

Adobe 在此感謝以下個人和組織提報
相關問題並與 Adobe 合作協助保護我們的客戶:

  • Cisco Talos 的 Aleksandar Nikolic (CVE-2018-4901)
  • 透過趨勢科技的零時差漏洞懸賞計畫匿名回報 (CVE-2018-4915、CVE-2018-4913、CVE-2018-4911、CVE-2018-4910)
  • Gal De Leon (CVE-2018-4900)
  • 來自 Clarified Security 並與趨勢科技零時差漏洞懸賞計畫合作的 Jaanus Kp (CVE-2018-4892、CVE-2018-4882)
  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu (CVE-2018-4905、CVE-2018-4904、CVE-2018-4891、CVE-2018-4890、CVE-2018-4889、CVE-2018-4887、CVE-2018-4886、CVE-2018-4885、CVE-2018-4883、CVE-2018-4884)
  • 來自騰訊玄武實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Ke Liu,以及來自騰訊電腦管家官網並與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2018-4903)
  • 騰訊玄武實驗室的 Ke Liu (CVE-2018-4906、CVE-2018-4917、CVE-2018-4918)
  • 北京航空航天大學的 Lin Wang (CVE-2018-4879、CVE-2018-4899、CVE-2018-4896、CVE-2018-4895、CVE-2018-4893)
  • 北京航空航天大學的王霖,以及來自 Tencent PC Manager 並與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2018-4898)
  • 北京航空航天大學的王霖,以及來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (CVE-2018-4894)
  • 來自騰訊安全平台部門並與趨勢科技零時差漏洞懸賞計畫合作的 riusksk (CVE-2018-4916、CVE-2018-4881、CVE-2018-4880)
  • 騰訊安全平台部門的 riusksk (CVE-2018-4908)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt siberas (CVE-2018-4888)
  • Tencent PC Manager 的 willJ (CVE-2018-4897、CVE-2018-4907)
  • 來自 Tencent PC Manager 並與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2018-4914、CVE-2018-4912、CVE-2018-4909)
  • 百度安全實驗室的 XuPeng 和 HuangZheng (CVE-2018-4902)

修訂

2018 年 2 月 14 日:更新鳴謝表。