Sicherheits-Updates für Adobe Acrobat und Reader verfügbar | APSB19-49
Bulletin-ID Veröffentlichungsdatum Priorität
APSB19-49 15. Oktober 2019 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Diese Updates beheben kritische und  wichtige Schwachstellen.  Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.    

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 

2019.012.20040 und frühere Versionen  Windows und macOS
Acrobat Reader DC Continuous  2019.012.20040 und frühere Versionen  Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 und frühere Versionen   Windows und macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 und frühere Versionen Windows und macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 und frühere Versionen  Windows und macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 und frühere Versionen Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2019.021.20047 Windows und macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows und macOS 2

Windows 


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows und macOS 2

Windows 

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows und macOS 2

Windows 

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Lesevorgang außerhalb des gültigen Bereichs   Offenlegung von Informationen   Wichtig   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Schreibvorgang außerhalb des gültigen Bereichs  Willkürliche Ausführung von Code    Kritisch

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Use After Free    Willkürliche Ausführung von Code      Kritisch

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Heap-Überlauf  Willkürliche Ausführung von Code      Kritisch

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Pufferüberlauf Willkürliche Ausführung von Code      Kritisch CVE-2019-8166
Cross-Site-Scripting  Offenlegung von Informationen Wichtig    CVE-2019-8160
Race-Bedingung Willkürliche Ausführung von Code   Kritisch CVE-2019-8162
Unvollständige Implementierung des Sicherheitsmechanismus Offenlegung von Informationen Wichtig  CVE-2019-8226
Typverwechslung Willkürliche Ausführung von Code   Kritisch

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Nicht vertrauenswürdige Zeiger-Dereferenzierung Willkürliche Ausführung von Code  Kritisch

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Pufferfehler Willkürliche Ausführung von Code  Kritisch CVE-2019-16470

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:    

  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 von Viettel Cyber Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8172) 
  • Ke Liu vom Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8064) 
  • Mat Powell von der Zero Day Initiative von Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk von Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige vom Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin und Lee JinYoung vom Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 vom SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) von Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung von STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research bei Flexera (CVE-2019-8222)
  • Aleksandar Nikolic von Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) von Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang und willJ vom Chengdu Security Response Center von Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme) und Li Qi(@leeqwind) und Yang Jianxiong(@sinkland_) von Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung vom Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu von Palo Alto Networks und Heige vom Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang von Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie vom Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng von Qihoo 360 Core Security und Jiadong Lu von der South China University of Technology (CVE-2019-8162)
  • Zhangqing und Zhiyuan Wang von cdsrc von Qihoo 360 (CVE-2019-16470)

Überarbeitungen

11. November 2019: Bestätigung für CVE-2019-8195 und CVE-2019-8196 hinzugefügt.

13. Februar 2020: Bestätigung für CVE-2019-16471 und CVE-2019-16470 hinzugefügt.