Adobe Acrobat 和 Reader 的安全性公告 | APSB18-30
安全性公告 ID 發佈日期 優先順序
APSB18-30 2018 年 10 月 01 日 2

摘要

Adobe 已發佈 Windows 和 MacOS 作業系統專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新旨在解決重大重要弱點。  這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台 優先順序分級
Acrobat DC  連續
2018.011.20063 及更早版本 
Windows 和 macOS 2
Acrobat Reader DC 連續
2018.011.20063 及更早版本 
Windows 和 macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 及更早版本 Windows 和 macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 及更早版本 Windows 和 macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 及更早版本
Windows 和 macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 及更早版本
Windows 和 macOS 2

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面

如有 Acrobat Reader DC 的相關問題,請前往 Acrobat Reader DC 常見問答集頁面。

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2019.008.20071
Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 連續 2019.008.20071
Windows 和 macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows 和 macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows 和 macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows 和 macOS 2
Windows
macOS

註解:

如這份舊版公告中所說,我們已在 2017 年 10 月 15 日結束對 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的支援。  11.0.23 版是 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的最後版本。Adobe 強烈建議您更新至最新版本的 Adobe Acrobat DC 和 Adobe Acrobat Reader DC。安裝最新版本的更新後,您將能獲得最新的功能強化與改善的安全措施。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍寫入 
任意執行程式碼
重大

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

超出範圍讀取 資訊揭露 重要

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

堆積溢位

任意執行程式碼

重大

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

使用釋放後記憶體 (Use After Free)

任意執行程式碼

重大

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

類型混淆

任意執行程式碼

重大

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

堆疊溢位

資訊揭露

重要

CVE-2018-12838

雙重釋放

任意執行程式碼

重大

 

CVE-2018-12841

整數溢位

資訊揭露

重要

CVE-2018-12881,

CVE-2018-12842

緩衝區錯誤

任意執行程式碼

重大

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

不信任的指標取值

任意執行程式碼

重大

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

安全性略過

權限竊取

重大

CVE-2018-15966

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 趨勢科技零時差漏洞懸賞計畫的匿名人士 (CVE-2018-12851)
  • 奇虎 360 科技有限公司成都 Security Response Center 的 Zhiyuan Wang (CVE-2018-12841、CVE-2018-12838、CVE-2018-12833)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2018-12856、CVE-2018-12855)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt siberas (CVE-2018-12858)
  • 來自北京航空航天大學並與趨勢科技零時差漏洞懸賞計畫合作的 Lin Wang (CVE-2018-12876、CVE-2018-12868)
  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Esteban Ruiz (mr_me) (CVE-2018-12879、CVE-2018-12877)
  • 趨勢科技零時差漏洞懸賞計畫的 Kamlapati Choubey (CVE-2018-15948、CVE-2018-15946、CVE-2018-12842)
  • 趨勢科技零時差漏洞懸賞計畫的 Ron Waisberg (CVE-2018-15950、CVE-2018-15949、CVE-2018-15947)
  • Cisco Talos 的 Aleksandar Nikolic.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • 北京航空航天大學的 Lin Wang (CVE-2018-15951、CVE-2018-12881、CVE-2018-12880、CVE-2018-12845、CVE-2018-12844、CVE-2018-12843、CVE-2018-12759)
  • Palo Alto Networks 的 Gal De Leon (CVE-2018-15920、CVE-2018-12846、CVE-2018-12836、CVE-2018-12832、CVE-2018-12769、CVE-2018-15921)
  • 奇虎 360 Vulcan 團隊的 Zhenjie Jia (CVE-2018-12831)
  • Palo Alto Networks 的 Hui Gao 以及 Knownsec 404 Security Team 的 Heige (又名 SuperHei) (CVE-2018-15925、CVE-2018-15924、CVE-2018-15968)
  • Palo Alto Networks 的 Bo Qu 和 Zhanglin He (CVE-2018-15923、CVE-2018-15922)
  • Palo Alto Networks 的 Hui Gao 以及 Knownsec 404 Security Team 的 Heige (又名 SuperHei) (CVE-2018-15977)
  • 來自 Source Incite 並與 iDefense Labs 合作的 Esteban Ruiz (mr_me) (CVE-2018-12835)
  • 來自 Project Srishti 並與 iDefense Labs 合作的 Ashfaq Ansari (CVE-2018-15968)
  • Check Point Software Technologies 的 Netanel Ben-Simon 和 Yoav Alon (CVE-2018-15956、CVE-2018-15955、CVE-2018-15954、CVE-2018-15953、CVE-2018-15952、CVE-2018-15938、CVE-2018-15937、CVE-2018-15936、CVE-2018-15935、CVE-2018-15934、CVE-2018-15933、CVE-2018-15932、CVE-2018-15931、CVE-2018-15930、CVE-2018-15929、CVE-2018-15928、CVE-2018-15927、CVE-2018-12875、CVE-2018-12874、CVE-2018-12873、CVE-2018-12872、CVE-2018-12871、CVE-2018-12870、CVE-2018-12869、CVE-2018-12867、CVE-2018-12866、CVE-2018-12865、CVE-2018-12864、CVE-2018-12863、CVE-2018-12862、CVE-2018-12861、CVE-2018-12860、CVE-2018-12859、CVE-2018-12857、CVE-2018-12839)
  • 騰訊安全性玄武實驗室的 Ke Liu (CVE-2018-15945、CVE-2018-15944、CVE-2018-15943、CVE-2018-15942、CVE-2018-15941、CVE-2018-15940、CVE-2018-15939、CVE-2018-15926、CVE-2018-12878、CVE-2018-12837、CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • 騰訊玄武實驗室的 Wei Wei (@Danny__Wei) (CVE-2018-15966)