可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB19-07
公告 ID 发布日期 优先级
APSB19-07 2019 年 2 月 12 日 2

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 MacOS 版发布了安全更新。这些更新解决了 关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 
2019.010.20069 及更早版本 
Windows 和 macOS
Acrobat Reader DC Continuous
2019.010.20069 及更早版本 Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 及更早版本 Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 及更早版本 Windows 和 macOS
       
Acrobat DC  Classic 2015 2015.006.30464 及更早版本  Windows 和 macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 及更早版本  Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或者 Apple Remote Desktop 和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 追踪 更新后的版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2019.010.20091 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows 和 macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows 和 macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows 和 macOS 2 Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
缓冲区错误 任意代码执行  关键 

CVE-2019-7020

CVE-2019-7085

数据泄漏(敏感) 信息泄露 关键  CVE-2019-7089
重复释放 任意代码执行  关键  CVE-2019-7080
整数溢出 信息泄露 关键  CVE-2019-7030
越界读取 信息泄露 重要

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

安全旁路 权限提升 关键 

CVE-2018-19725

CVE-2019-7041

越界写入 任意代码执行  关键 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

类型混淆 任意代码执行   关键

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

不受信任的指针解除引用 任意代码执行    关键

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

释放后使用  任意代码执行   关键 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 通过 Trend Micro(趋势科技)“Zero Day Initiative”计划报告的 Sebastian Apelt  (CVE-2019-7044、CVE-2019-7045、CVE-2019-7048)

  • 通过 Trend Micro(趋势科技)“Zero Day Initiative”计划报告的 Abdul-Aziz Hariri (CVE-2018-19725、CVE-2019-7041)

  • 来自奇虎 360 Vulcan 团队的 Linan Hao 和 Zhenjie Jia(CVE-2019-7018、CVE-2019-7019、CVE-2019-7020、CVE-2019-7021、CVE-2019-7022、CVE-2019-7023、CVE-2019-7024、CVE-2019-7029)

  • 参与 iDefense Labs@j00sean (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • 来自思科 Talos 团队的 Aleksandar Nikolic。(CVE-2019-7039)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的匿名人士 (CVE-2019-7077)

  • 来自派拓网络的 Gal De Leon (CVE-2019-7025)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Juan Pablo Lopez Yacubian (CVE-2019-7078)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Kdot (CVE-2019-7049)

  • 来自腾讯安全玄武实验室的 Ke Liu(CVE-2019-7033、CVE-2019-7034、CVE-2019-7035、CVE-2019-7036、CVE-2019-7037、CVE-2019-7038、CVE-2019-7047)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Mat Powell(CVE-2019-7071、CVE-2019-7072、CVE-2019-7073、CVE-2019-7074、CVE-2019-7075)

  • 来自 Check Point Research 的 Yoav Alon 和 Netanel Ben-Simon(CVE-2019-7080、CVE-2019-7081)

  • 通过 Trend Micro(趋势科技)“Zero Day Initiative”计划报告的 Steven Seeley(CVE-2019-7069、CVE-2019-7070)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 T3rmin4t0r(CVE-2019-7042、CVE-2019-7043)

  • 来自 Source Incite 并参与 iDefense Labs 的 Steven Seeley (mr_me)(CVE-2019-7084、CVE-2019-7085、CVE-2019-7086、CVE-2019-7087)

  • 腾讯 Atuin 团队(CVE-2019-7031、CVE-2019-7032)

  • 来自 TCA/SKLCS 中国科学院软件研究所的 Xu Peng 和 Su Purui (CVE-2019-7076)

  • 来自奇虎 360 Vulcan 团队的 Zhenjie Jia(CVE-2019-7062、CVE-2019-7063、CVE-2019-7064、CVE-2019-7067)

  • 来自奇虎 360 科技有限公司成都安全响应中心并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Zhiyuan Wang (CVE-2019-7079)

  • 来自派拓网络的 Bo Qu 和来自知道创宇 404 安全团队的 Heige(CVE-2019-7065、CVE-2019-7066、CVE-2019-7068)

  • 来自派拓网络的 Zhibin Zhang(CVE-2019-7026、CVE-2019-7027、CVE-2019-7028、CVE-2019-7082)

  • 来自派拓网络的 Qi Deng(CVE-2019-7046、CVE-2019-7050、CVE-2019-7051、CVE-2019-7083)

  • 来自派拓网络的 Hui Gao(CVE-2019-7052、CVE-2019-7053、CVE-2019-7054)

  • 来自派拓网络的 Zhaoyan Xu(CVE-2019-7055、CVE-2019-7056、CVE-2019-7057)

  • 来自派拓网络的 Zhanglin He(CVE-2019-7058、CVE-2019-7059、CVE-2019-7060)