Boletim de segurança da Adobe
Atualizações de segurança disponíveis para o Adobe Acrobat e Reader | APSB19-07
ID do boletim Data de publicação Prioridade
APSB19-07 12 de fevereiro de 2019 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Estas atualizações corrigem vulnerabilidades críticasimportantes.  A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.    

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC  Contínuo 
2019.010.20069 e versões anteriores 
Windows e macOS
Acrobat Reader DC Contínuo
2019.010.20069 e versões anteriores Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 e versões anteriores Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 e versões anteriores Windows e macOS
       
Acrobat DC  Classic 2015 2015.006.30464 e versões anteriores  Windows e macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 e versões anteriores  Windows e macOS

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.  

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Contínuo 2019.010.20091 Windows e macOS 2 Windows

macOS
Acrobat Reader DC Contínuo 2019.010.20091
Windows e macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows e macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows e macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows e macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows e macOS 2 Windows

macOS

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Erros de buffer Execução de código arbitrário  Crítico 

CVE-2019-7020

CVE-2019-7085

Vazamento de dados (confidenciais) Divulgação de informações Crítico  CVE-2019-7089
Double Free Execução de código arbitrário  Crítico  CVE-2019-7080
Transbordamento inteiro Divulgação de informações Crítico  CVE-2019-7030
Out-of-Bounds Read Divulgação de informações Importante

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

Bypass de segurança Escalonamento de privilégio Crítico 

CVE-2018-19725

CVE-2019-7041

Gravação fora dos limites Execução de código arbitrário  Crítico 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Confusão do tipo Execução de código arbitrário   Crítico

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Desreferência de ponteiro não confiável Execução de código arbitrário    Crítico

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Uso após período gratuito  Execução de código arbitrário   Crítico 

CVE-2019-7018

CVE-2019-7025

CVE-2019-7026

CVE-2019-7029

CVE-2019-7031

CVE-2019-7040

CVE-2019-7043

CVE-2019-7044

CVE-2019-7048

CVE-2019-7050

CVE-2019-7062

CVE-2019-7068

CVE-2019-7070

CVE-2019-7072

CVE-2019-7075

CVE-2019-7077

CVE-2019-7078

CVE-2019-7082

CVE-2019-7083

CVE-2019-7084

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Sebastian Apelt por meio da Zero Day Initiative da Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048)

  • Abdul-Aziz Hariri por meio da Zero Day Initiative da Trend Micro (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao da Qihoo 360 Vulcan Team e Zhenjie Jia da Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean trabalhando com a iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic da Cisco Talos. (CVE-2019-7039)

  • Anônimo que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-7077)

  • Gal De Leon da Palo Alto Network (CVE-2019-7025)

  • Juan Pablo Lopez Yacubian que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-7078)

  • kdot que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-7049)

  • Ke Liu da Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell da Zero Day Initiative da Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon e Netanel Ben-Simon da Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley via Zero Day Initiative da Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) da Source Incite que trabalha com a iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng e Su Purui do TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia da Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang do Chengdu Security Response Center da Qihoo 360 Technology Co. Ltd. que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-7079)

  • Bo Qu da Palo Alto Networks e Heige da Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang da Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng da Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao da Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu da Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He da Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei da STARLabs (CVE-2019-7035)

Revisões

1º de abril de 2019: referência ao CVE-2019-7035 adicionada à seção de Agradecimentos