Adobe Acrobat 和 Reader 的安全性公告 | APSB18-34
安全性公告 ID 發佈日期 優先順序
APSB18-34 2018 年 9 月 19 日 2

摘要

Adobe 已發佈 Windows 和 MacOS 作業系統專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新旨在解決重大重要弱點。  這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

這些更新將會解決軟體中的重大弱點。Adobe 將為這些更新指派下列優先順序分級:

產品 追蹤 受影響的版本 平台 優先順序分級
Acrobat DC  連續
2018.011.20058 及更早版本 
Windows 和 macOS 2
Acrobat Reader DC 連續
2018.011.20058 及更早版本 
Windows 和 macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30099 及更早版本 Windows 和 macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30099 及更早版本 Windows 和 macOS 2
         
Acrobat DC  Classic 2015 2015.006.30448 及更早版本
Windows 和 macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30448 及更早版本
Windows 和 macOS 2

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面

如有 Acrobat Reader DC 的相關問題,請前往 Acrobat Reader DC 常見問答集頁面。

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2018.011.20063
Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 連續 2018.011.20063
Windows 和 macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30102 Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30102 Windows 和 macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30452
Windows 和 macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30452 Windows 和 macOS 2
Windows
macOS

註解:

如這份舊版公告中所說,我們已在 2017 年 10 月 15 日結束對 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的支援。  11.0.23 版是 Adobe Acrobat 11.x 及 Adobe Reader 11.x 的最後版本。Adobe 強烈建議您更新至最新版本的 Adobe Acrobat DC 和 Adobe Acrobat Reader DC。安裝最新版本的更新後,您將能獲得最新的功能強化與改善的安全措施。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍寫入 
執行任意程式碼
重大 CVE-2018-12848
超出範圍讀取 資訊揭露 重要

CVE-2018-12849

CVE-2018-12850

CVE-2018-12801

CVE-2018-12840

CVE-2018-12778

CVE-2018-12775

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 透過趨勢科技零時差漏洞懸賞計畫匿名回報 (CVE-2018-12778、CVE-2018-12775)
  • Cybellum Technologies LTD (CVE-2018-12801) 

  • Vulnerability Research Check Point Software Technologies Ltd. 的 Omri Herscovici (CVE-2018-12848、CVE-2018-12849、CVE-2018-12850、CVE-2018-12840)