Bollettino sulla sicurezza di Adobe

Bollettino sulla sicurezza per Adobe Acrobat e Reader | APSB19-18

ID bollettino	Data di pubblicazione	Priorità
APSB19-18	14 maggio 2019	2

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti.  Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.     

Prodotto	Track	Versioni interessate	Piattaforma
Acrobat DC	Continuous	2019.010.20100 e versioni precedenti	Windows e MacOS
Acrobat Reader DC	Continuous	2019.010.20099 e versioni precedenti	Windows e MacOS

Acrobat 2017	Classic 2017	2017.011.30140 e versione precedente	Windows e MacOS
Acrobat Reader 2017	Classic 2017	2017.011.30138 e versione precedente	Windows e MacOS

Acrobat DC	Classic 2015	2015.006.30495 e versioni precedenti	Windows e MacOS
Acrobat Reader DC	Classic 2015	2015.006.30493 e versioni precedenti	Windows e MacOS

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:

Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.
I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.
È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.

Per gli amministratori IT (ambienti gestiti):

Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.
Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto	Track	Versioni aggiornate	Piattaforma	Livello di priorità	Disponibilità
Acrobat DC	Continuous	2019.012.20034	Windows e macOS	2	Windows macOS
Acrobat Reader DC	Continuous	2019.012.20034	Windows e macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30142	Windows e macOS	2	Windows macOS
Acrobat Reader DC 2017	Classic 2017	2017.011.30142	Windows e macOS	2	Windows macOS

Acrobat DC	Classic 2015	2015.006.30497	Windows e macOS	2	Windows macOS
Acrobat Reader DC	Classic 2015	2015.006.30497	Windows e macOS	2	Windows macOS

Categoria della vulnerabilità	Impatto della vulnerabilità	Gravità	Codice CVE
Lettura fuori limite	Divulgazione di informazioni	Importante	CVE-2019-7841 CVE-2019-7836 CVE-2019-7826 CVE-2019-7813 CVE-2019-7812 CVE-2019-7811 CVE-2019-7810 CVE-2019-7803 CVE-2019-7802 CVE-2019-7801 CVE-2019-7799 CVE-2019-7798 CVE-2019-7795 CVE-2019-7794 CVE-2019-7793 CVE-2019-7790 CVE-2019-7789 CVE-2019-7787 CVE-2019-7780 CVE-2019-7778 CVE-2019-7777 CVE-2019-7776 CVE-2019-7775 CVE-2019-7774 CVE-2019-7773 CVE-2019-7771 CVE-2019-7770 CVE-2019-7769 CVE-2019-7758 CVE-2019-7145 CVE-2019-7144 CVE-2019-7143 CVE-2019-7142 CVE-2019-7141 CVE-2019-7140 CVE-2019-7966
Scrittura fuori limite	Esecuzione di codice arbitrario	Critica	CVE-2019-7829 CVE-2019-7825 CVE-2019-7822 CVE-2019-7818 CVE-2019-7804 CVE-2019-7800 CVE-2019-7967
Confusione del tipo di oggetto	Esecuzione di codice arbitrario	Critica	CVE-2019-7820
Use-after-free	Esecuzione di codice arbitrario	Critica	CVE-2019-7835 CVE-2019-7834 CVE-2019-7833 CVE-2019-7832 CVE-2019-7831 CVE-2019-7830 CVE-2019-7823 CVE-2019-7821 CVE-2019-7817 CVE-2019-7814 CVE-2019-7809 CVE-2019-7808 CVE-2019-7807 CVE-2019-7806 CVE-2019-7805 CVE-2019-7797 CVE-2019-7796 CVE-2019-7792 CVE-2019-7791 CVE-2019-7788 CVE-2019-7786 CVE-2019-7785 CVE-2019-7783 CVE-2019-7782 CVE-2019-7781 CVE-2019-7772 CVE-2019-7768 CVE-2019-7767 CVE-2019-7766 CVE-2019-7765 CVE-2019-7764 CVE-2019-7763 CVE-2019-7762 CVE-2019-7761 CVE-2019-7760 CVE-2019-7759
Sovraccarico dell'heap	Esecuzione di codice arbitrario	Critica	CVE-2019-7828 CVE-2019-7827
Errore buffer	Esecuzione di codice arbitrario	Critica	CVE-2019-7824
Vulnerabilità double-free	Esecuzione di codice arbitrario	Critica	CVE-2019-7784
Aggiramento della protezione	Esecuzione di codice arbitrario	Critica	CVE-2019-7779
Path traversal	Divulgazione di informazioni	Importante	CVE-2019-8238

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

Xu Peng e Su Purui di TCA/SKLCS Institute of Software Chinese Academy of Sciences in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7830, CVE-2019-7817)
hungtt28 di Viettel Cyber Security in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7826, CVE-2019-7820)
Esteban Ruiz (mr_me) di Source Incite in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7825, CVE-2019-7822, CVE-2019-7821)
Anonimo in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7824, CVE -2019-7823, CVE -2019-7797, CVE -2019-7759, CVE -2019-7758)
T3rmin4t0r in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7796)
Ron Waisberg, in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7794)
Xudong Shao del Qihoo360 Vulcan Team (CVE-2019-7784)
Peternguyen in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7814, CVE-2019-7760)
Gal De Leon di Palo Alto Networks (CVE-2019-7762)
Aleksandar Nikolic di Cisco Talos (CVE-2019-7831, CVE-2019-7761)
hemidallt in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7809)
Ke Liu del Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789, CVE-2019-7788)
Steven Seeley tramite la Zero Day Initiative di Trend Micro (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141, CVE-2019-7140)
Wei Lei di STARLabs (CVE-2019-7142)
@j00sean (CVE-2019-7812, CVE-2019-7791, CVE-2019-7790)
willJ in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-7818)
Zhenjie Jia del Qihoo 360 Vulcan Team (CVE-2019-7813)
Zhibin Zhang di Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774, CVE-2019-7767)
Bo Qu di Palo Alto Networks e Heige del Knownsec 404 Security Team (CVE-2019-7773, CVE-2019-7766, CVE-2019-7764)
Qi Deng di Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772, CVE-2019-7768)
Hui Gao di Palo Alto Networks (CVE-2019-7808, CVE-2019-7807, CVE-2019-7806)
Zhaoyan Xu di Palo Alto Networks (CVE-2019-7793, CVE-2019-7792, CVE-2019-7783)
Zhanglin He di Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778, CVE-2019-7765)
Taojie Wang di Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775, CVE-2019-7763)

Un ricercatore indipendente per la sicurezza ha segnalato questa vulnerabilità al programma di divulgazione SSD (CVE-2019-7805)
Steven Seeley (mr_me) di Source Incite, in collaborazione con iDefense Labs (CVE-2019- 7966, CVE-2019-7967)
Kevin Stoltz di CompuPlus, Inc. (CVE-2019-8238)

08 luglio 2019: sezione Ringraziamenti aggiornata

15 agosto 2019: Informazioni dettagliate sulle vulnerabilità CVE-2019-7966 e CVE-2019-7967

23 ottobre 2019: Sono inclusi i dettagli su CVE-2019-8238.

Bollettino sulla sicurezza di Adobe

Riepilogo

Versioni interessate

Soluzione

Dettagli della vulnerabilità

Ringraziamenti

Revisioni

Chiedi alla community

Contattaci