Aggiornamenti di sicurezza disponibili per Adobe Reader e Acrobat | APSB19-07
ID bollettino Data di pubblicazione Priorità
APSB19-07 12 febbraio 2019 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti.  Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.    

Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuo 
2019.010.20069 e versioni precedenti 
Windows e MacOS
Acrobat Reader DC Continuo
2019.010.20069 e versioni precedenti Windows e MacOS
       
Acrobat 2017 Classic 2017 2017.011.30113 e versione precedente Windows e MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 e versione precedente Windows e MacOS
       
Acrobat DC  Classic 2015 2015.006.30464 e versioni precedenti  Windows e MacOS
Acrobat Reader DC  Classic 2015 2015.006.30464 e versioni precedenti  Windows e MacOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.
Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.
  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.
  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.  

Per gli amministratori IT (ambienti gestiti):

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.
  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuo 2019.010.20091 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC Continuo 2019.010.20091
Windows e MacOS 2 Windows

MacOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows e MacOS 2 Windows

MacOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows e MacOS 2 Windows

MacOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows e MacOS 2 Windows

MacOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Errori del buffer Esecuzione di codice arbitrario  Critica 

CVE-2019-7020

CVE-2019-7085

Perdita di dati (sensibile) Divulgazione di informazioni Critica  CVE-2019-7089
Vulnerabilità double-free Esecuzione di codice arbitrario  Critica  CVE-2019-7080
Overflow di intero Divulgazione di informazioni Critica  CVE-2019-7030
Lettura fuori limite Divulgazione di informazioni Importante

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Aggiramento della protezione Acquisizione illecita di privilegi Critica 

CVE-2018-19725

CVE-2019-7041

Scrittura fuori limite Esecuzione di codice arbitrario  Critica 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Confusione del tipo di oggetto Esecuzione di codice arbitrario   Critica

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Dereferenziazione puntatore non affidabile Esecuzione di codice arbitrario    Critica

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Use-after-free   Esecuzione di codice arbitrario   Critica 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Sebastian Apelt  tramite la Trend Micro Zero Day Initiative (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri tramite la Trend Micro Zero Day Initiative (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao di Qihoo 360 Vulcan Team e Zhenjie Jia di Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean in collaborazione con iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic di Cisco Talos. (CVE-2019-7039)

  • Utente anonimo in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7077)

  • Gal De Leon di Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7078)

  • kdot in collaborazione con la Trend Micro's Zero Day Initiative (CVE-2019-7049)

  • Ke Liu di Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell della Trend Micro Zero Day Initiative (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon & Netanel Ben-Simon del Check Point Research (CVE-2019-7080, CVE-2019-7081))

  • Steven Seeley tramite la Trend Micro's Zero Day Initiative (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r in collaborazione con la Trend Micro's Zero Day Initiative (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) di Source Incite in collaborazione con iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng e Su Purui del TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia di Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang del Chengdu Security Response Center di Qihoo 360 Technology Co. Ltd. in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7079)

  • Bo Qu di Palo Alto Networks e Heige del Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang di Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng di Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao di Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu di Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He di Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)