Beveiligingsupdates beschikbaar voor Adobe Acrobat en Reader | APSB19-49
Bulletin-id Publicatiedatum Prioriteit
APSB19-49 15 oktober 2019 2

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Acrobat en Reader voor Windows en macOS. Deze updates zijn gericht op  kritieke en belangrijke kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige code-uitvoering binnen de context van de huidige gebruiker.    

Van toepassing op de volgende versies

Product Track-abonnement Van toepassing op de volgende versies Platform
Acrobat DC  Continuous 

2019.012.20040 en eerdere versies  Windows & macOS
Acrobat Reader DC Continuous  2019.012.20040 en eerdere versies  Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 en eerdere versies   Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 en eerdere versies Windows & macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 en eerdere versies  Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 en eerdere versies Windows & macOS

Oplossing

Adobe raadt gebruikers aan om hun software bij te werken naar de nieuwste versies door de onderstaande instructies te volgen.    

De nieuwste productversies zijn beschikbaar voor eindgebruikers via een van de volgende methoden:    

  • Gebruikers kunnen hun productinstallaties handmatig bijwerken door Help > Controleren op updates te kiezen.     

  • De producten worden automatisch bijgewerkt, zonder tussenkomst van de gebruiker, wanneer updates worden gedetecteerd.      

  • Het volledige Acrobat Reader-installatieprogramma kan worden gedownload van het Acrobat Reader Download Center.   

Voor IT-beheerders (beheerde omgevingen):     

  • Download de zakelijke installatieprogramma's via ftp://ftp.adobe.com/pub/adobe/ of raadpleeg de specifieke versie van de release-opmerkingen voor links naar installatieprogramma's.

  • Installeer updates via uw voorkeursmethode, zoals AIP-GPO, bootstrapper, SCUP/SCCM (Windows) of op Apple Remote Desktop en SSH (macOS). 

   

Adobe heeft aan deze updates de onderstaande prioriteitsbeoordelingen toegekend en raadt gebruikers aan hun installatie bij te werken naar de meest recente versie:   

Product Track-abonnement Bijgewerkte versies Platform Prioriteitsbeoordeling Beschikbaarheid
Acrobat DC Continuous 2019.021.20047 Windows en macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows en macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows en macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows en macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows en macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows en macOS 2

Windows

macOS

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst CVE-nummer
Lezen buiten het bereik  Openbaarmaking van informatie   Belangrijk  

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Out-of-Bounds Schrijven  Willekeurige code-uitvoering    Kritiek

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Use-after-free    Willekeurige code-uitvoering      Kritiek

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Massabufferoverloop  Willekeurige code-uitvoering      Kritiek

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Bufferoverloop Willekeurige code-uitvoering      Kritiek CVE-2019-8166
XSS (Cross-Site Scripting)  Openbaarmaking van informatie Belangrijk    CVE-2019-8160
Race-conditie Willekeurige code-uitvoering   Kritiek CVE-2019-8162
Onvolledige implementatie van het beveiligingsmechanisme Openbaarmaking van informatie Belangrijk  CVE-2019-8226
Typeverwarring Willekeurige code-uitvoering   Kritiek

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Dereferentie niet-vertrouwde aanwijzer Willekeurige code-uitvoering  Kritiek

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Bufferfouten Willekeurige code-uitvoering  Kritiek CVE-2019-16470

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:    

  • Werkt anoniem samen met het Zero Day Initiative van Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie van het Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 van Viettel Cyber Security in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian werkt samen met het Zero Day Initiative van Trend Micro (CVE-2019-8172) 
  • Ke Liu van het Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8064) 
  • Mat Powell van het Zero Day Initiative van Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk van Project Zero van Google (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) van Source Incite in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige van het Knownsec 404-beveiligingsteam (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin en Lee JinYoung van het Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 van SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) van Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung van STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research at Flexera (CVE-2019-8222)
  • Aleksandar Nikolic van Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) van Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang en willJ van het Chengdu Security Response Center van Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme) & Li Qi(@leeqwind) & Yang Jianxiong(@sinkland_) van Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung van het Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu van Palo Alto Networks en Heige van het Knownsec 404-beveiligingsteam (CVE-2019-8205)
  • Zhibin Zhang van Palo Alto Networks (CVE-2019-8206)
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2019-8192, CVE-2019-8177)) 
  • Haikuo Xie van het Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng van Qihoo 360 Core security en Jiadong Lu van South China University of Technology (CVE-2019-8162)
  • Zhangqing en Zhiyuan Wang van cdsrc van Qihoo 360 (CVE-2019-16470)

Revisies

11 november 2019: Erkenning toegevoegd voor CVE-2019-8195 en CVE-2019-8196.

13 februari 2020: Erkenning toegevoegd voor CVE-2019-16471 en CVE-2019-16470.