Boletim de segurança para o Adobe Acrobat e Reader | APSB19-41
ID do boletim Data de publicação Prioridade
APSB19-41 13 de agosto de 2019 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações solucionam vulnerabilidades importantes.  A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.    

Versões afetadas

Essas atualizações solucionarão vulnerabilidades importantes no software. A Adobe atribuirá as seguintes classificações de prioridade a essas atualizações:

Produto Track Versões afetadas Plataforma
Acrobat DC  Continuous 

2019.012.20034 e versões anteriores  macOS
Acrobat DC  Continuous  2019.012.20035 e versões anteriores Windows
Acrobat Reader DC Continuous

2019.012.20034 e versões anteriores  macOS
Acrobat Reader DC Continuous  2019.012.20035 e versões anteriores  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 e versões anteriores   macOS
Acrobat DC  Classic 2017 2017.011.30143 e versões anteriores Windows
Acrobat Reader DC Classic 2017 2017.011.30142 e versões anteriores   macOS
Acrobat Reader DC Classic 2017 2017.011.30143 e versões anteriores Windows
       
Acrobat DC  Classic 2015 2015.006.30497 e versões anteriores  macOS
Acrobat DC  Classic 2015 2015.006.30498 e versões anteriores Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 e versões anteriores  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 e versões anteriores Windows

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Continuous 2019.012.20036 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows e macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows e macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows e macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows e macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows e macOS 2

Windows

macOS

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE

Out-of-Bounds Read   

 

 

Divulgação de informações   

 

 

Importante   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Gravação fora dos limites   

 

 

Execução de código arbitrário    

 

 

Importante  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Injeção de comando  Execução de código arbitrário   Importante  CVE-2019-8060

Uso após período gratuito   

 

 

Execução de código arbitrário     

 

 

Importante 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Heap Overflow 

 

 

Execução de código arbitrário     

 

 

Importante 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Erro de buffer  Execução de código arbitrário       Importante   CVE-2019-8048
Double Free  Execução de código arbitrário      Importante    CVE-2019-8044 
Transbordamento inteiro Divulgação de informações Importante 

CVE-2019-8099

CVE-2019-8101

Divulgação IP interna Divulgação de informações Importante  CVE-2019-8097
Confusão do tipo Execução de código arbitrário   Importante 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Desreferência de ponteiro não confiável

 

 

Execução de código arbitrário 

 

 

Importante 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Criptografia insuficientemente forte Falha de recurso de segurança Crítico CVE-2019-8237
Confusão do tipo Divulgação de informações Importante

CVE-2019-8251

CVE-2019-8252

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:    

  • Dhanesh Kizhakkinan da FireEye Inc.(CVE-2019-8066) 
  • Xu Peng and Su Purui do Instituto de software TCA/SKLCS da Academia chinesa de ciências e a equipe Codesafe da Legendsec no Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, pesquisador independente de segurança https://imAK.xyz/ (CVE-2019-8097)
  • Anônimo trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie do Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei da STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind) e Wang Lei (@CubestoneW) e Liao Bangjie(@b1acktrac3) da Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 
  • Ke Liu do Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie do Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8014) 
  • Mat Powell da Zero Day Initiative da Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk do Google project zero (CVE -2019-8041, CVE -2019-8042, CVE -2019-8043, CVE -2019-8044, CVE -2019-8045, CVE -2019-8046, CVE -2019-8047, CVE -2019-8048, CVE -2019-8049, CVE -2019-8050, CVE -2019-8016, CVE -2019-8017) 
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun da Zero Day Initiative da Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) da Source Incite trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8019) 
  • Steven Seeley (mr_me) da Source Incite trabalhando com o iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) da Source Incite trabalhando com a iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu da Palo Alto Networks e Heige da equipe de segurança da Knownsec 404 (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao da Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai da Palo Alto Networks (CVE-2019-8025) 
  • Bit da STARLabs trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) da Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) da Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revisões

14 de agosto de 2019: adição de agradecimento referente a CVE-2019-8016 e CVE-2019-8017.

22 De agosto de 2019: Id atualizada CVE CVE -2019-7832 a CVE -2019-8066.

26 de setembro de 2019: adição de agradecimento referente a CVE-2019-8060.

23 de outubro de 2019: adição de detalhes sobre CVE-2019-8237.

19 de novembro de 2019: adição de detalhes sobre CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 de dezembro de 2019: adição de detalhes sobre CVE-2019-8257.