Bollettino sulla sicurezza per Adobe Acrobat e Reader | APSB18-41
ID bollettino Data di pubblicazione Priorità
APSB18-41 11 dicembre 2018 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità criticheimportanti. Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.   

Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuo
2019.008.20081 e versioni precedenti 
Windows 
Acrobat DC  Continuo 2019.008.20080 e versioni precedenti macOS
Acrobat Reader DC Continuo
2019.008.20081 e versioni precedenti Windows
Acrobat Reader DC Continuo 2019.008.20080 e versioni precedenti macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 e versione precedente Windows
Acrobat 2017 Classic 2017 2017.011.30105 e versione precedente macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 e versione precedente Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 e versione precedente macOS
       
Acrobat DC  Classic 2015 2015.006.30457 e versioni precedenti  Windows
Acrobat DC  Classic 2015 2015.006.30456 e versioni precedenti  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 e versioni precedenti  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 e versioni precedenti  macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.
Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.
  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.
  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.

Per gli amministratori IT (ambienti gestiti):

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.
  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuo 2019.010.20064 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC Continuo 2019.010.20064
Windows e MacOS 2 Windows

MacOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows e MacOS 2 Windows

MacOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows e MacOS 2 Windows

MacOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE

Errori del buffer

 

Esecuzione di codice arbitrario

 

Critica

 

CVE-2018-15998

CVE-2018-15987

 

Riferimento a un puntatore non affidabile

 

Esecuzione di codice arbitrario

 

 

 

Critica

 

 

CVE-2018-16004

CVE-2018-19720

Aggiramento della protezione

 

Acquisizione illecita di privilegi

 

Critica

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Use-after-free

 

 

 

 

Esecuzione di codice arbitrario

 

 

 

 

Critica

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Scritture fuori limite 

 

 

 

 

Esecuzione di codice arbitrario

 

 

 

 

Critica

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Sovraccarico dell'heap

 

 

 

 

Esecuzione di codice arbitrario

 

 

 

 

Critica

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Lettura fuori limite

 

 

 

 

Divulgazione di informazioni

 

 

 

 

Importante

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Overflow di intero

 

Divulgazione di informazioni

 

 

 

Importante

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Aggiramento della protezione Divulgazione di informazioni Importante CVE-2018-16042

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Segnalato in forma anonima tramite Trend Micro Zero Day Initiative (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu del Xuanwu Lab di Tencent (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot che lavora con Trend Micro Zero Day Initiative (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) di Source Incite della Trend Micro Zero Day Initiative (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin del team di sicurezza NSFOCUS (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang della Beihang University tramite la Trend Micro Zero Day Initiative (CVE-2018-16014)

  • guyio tramite la Trend Micro Zero Day Initiative (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng di Trend Micro Security Research tramite la Trend Micro Zero Day Initiative (CVE-2018-15985)

  • XuPeng del TCA/SKLCS Institute of Software, Chinese Academy of Sciences, e HuangZheng del Baidu Security Lab (CVE-2018-12830)

  • Linan Hao del Qihoo 360 Vulcan Team e Zhenjie Jia del Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Seeley tramite la Trend Micro Zero Day Initiative (CVE-2018-16008)

  • Roderick Schaefer tramite la Trend Micro Zero Day Initiative (CVE-2018-19713)

  • Lin Wang della Beihang University (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav  Mladenov,  Christian  Mainka,  Karsten  Meyer  zu  Selhausen, Martin Grothe, Jorg Schwenk della Ruhr-Universität Bochum (CVE-2018-16042)

  • Aleksandar Nikolic di Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey tramite la Trend Micro Zero Day Initiative (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) tramite la Trend Micro Zero Day Initiative (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Ringraziamenti speciali ad Abdul Aziz Hariri della Trend Micro Zero Day Initiative per il suo contributo di difesa approfondita nell'intensificare le esclusioni di restrizioni di Javascript API (CVE-2018-16018)

  • AbdulAziz Hariri della Zero Day Initiative e Sebastian Apelt per il suo contributo di difesa approfondita per attenuare la superficie di attacco Onix Indexing (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng di Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang di Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao e Qi Deng di Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao e Zhibin Zhang di Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu di Palo Alto Networks e Heige del team di sicurezza di Knownsec 404 (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)