Bollettino sulla sicurezza di Adobe
Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB19-55
ID bollettino Data di pubblicazione Priorità
APSB19-55 10 dicembre 2019 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e macOS. Questi aggiornamenti risolvono vulnerabilità critiche e  importanti.  Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.    

Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2019.021.20056 e versioni precedenti  Windows e macOS
Acrobat Reader DC Continuous   2019.021.20056 e versioni precedenti  Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 e versioni precedenti  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 e versioni precedenti macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 e versioni precedenti  Windows e macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 e versioni precedenti Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 e versioni precedenti Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2019.021.20058 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Lettura fuori limite   Divulgazione di informazioni   Importante   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Scrittura fuori limite  Esecuzione di codice arbitrario    Critica

CVE-2019-16450

CVE-2019-16454

Use-after-free Esecuzione di codice arbitrario      Critica

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Sovraccarico dell'heap  Esecuzione di codice arbitrario      Critica CVE-2019-16451
Errore buffer Esecuzione di codice arbitrario      Critica CVE-2019-16462
Dereferenziazione puntatore non affidabile Esecuzione di codice arbitrario  Critica

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Pianificazione binaria (acquisizione illecita dei privilegi di cartella predefinita) Acquisizione illecita di privilegi Importante  CVE-2019-16444
Aggiramento della protezione Esecuzione di codice arbitrario Critica CVE-2019-16453

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Mateusz Jurczyk di Google Project Zero & Anonymous in collaborazione con Zero Day Initiative di Trend Micro (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444) 

  • Ke Liu di Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94) di SEFCOM Lab, Arizona State University (CVE-2019-16446, CVE-2019-16448)

  • Aleksandar Nikolic di Cisco Talos (CVE-2019-16463)

  • Team di supporto tecnico di HTBLA Leonding (CVE-2019-16453) 

  • Haikuo Xie del Baidu Security Lab (CVE-2019-16461)

  • Bit di STAR Labs (CVE-2019-16452)

  • Xinyu Wan e Yiwei Zhang della Renmin University of China (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Bo Qu di Palo Alto Networks e Heige del Knownsec 404 Security Team (CVE-2019-16456) 

  • Zhibin Zhang di Palo Alto Networks (CVE-2019-16457)

  • Qi Deng, Ken Hsu di Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun, Hao Cai di Palo Alto Networks (CVE-2019-16459)

  • Yue Guan, Haozhe Zhang di Palo Alto Networks (CVE-2019-16464) 

  • Hui Gao di Palo Alto Networks (CVE-2019-16465)

  • Zhibin Zhang, Yue Guan di Palo Alto Networks (CVE-2019-16465)