Adobe Acrobat 和 Reader 安全公告 | APSB19-18
公告 ID 发布日期 优先级
APSB19-18 2019 年 5 月 14 日 2

摘要

Adobe 发布了适用于 Windows 版和 macOS 版的 Adobe Acrobat 及 Reader 的安全更新。这些更新解决了 关键漏洞和重要漏洞。如果这些漏洞被得以利用,则可能会导致在当前用户的上下文中执行任意代码。   

受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 
2019.010.20100 及更早版本 
Windows 和 macOS
Acrobat Reader DC Continuous
2019.010.20099 及更早版本 Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30140 及更早版本 Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 及更早版本 Windows 和 macOS
       
Acrobat DC  Classic 2015 2015.006.30495 及更早版本  Windows 和 macOS
Acrobat Reader DC  Classic 2015 2015.006.30493 及更早版本  Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或者 Apple Remote Desktop 和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2019.012.20034 Windows 和 macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows 和 macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
越界读取  信息泄露   重要  

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

越界写入 任意代码执行   关键   

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

类型混淆   任意代码执行   关键    CVE-2019-7820
释放后使用   任意代码执行   关键   

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

堆溢出 任意代码执行   关键   

CVE-2019-7828

CVE-2019-7827

缓冲区错误 任意代码执行   关键 CVE-2019-7824
重复释放 任意代码执行     关键  CVE-2019-7784
安全旁路 任意代码执行  关键  CVE-2019-7779
路径遍历 信息泄露   重要 CVE-2019-8238

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:   

  • 来自中国科学院软件研究所 TCA/SKLCS 实验室并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Xu Peng 和 Su Purui(CVE-2019-7830、CVE-2019-7817)
  • 来自 Viettel Cyber Security 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 hungtt28(CVE-2019-7826、CVE-2019-7820)

  • 来自 Source Incite 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Esteban Ruiz (mr_me)(CVE-2019-7825、CVE-2019-7822、CVE-2019-7821)

  • 通过 Trend Micro(趋势科技)的“Zero Day Initiative”计划匿名报告(CVE-2019-7824、CVE-2019-7823、CVE-2019-7797、CVE-2019-7759、CVE-2019-7758)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 T3rmin4t0r (CVE-2019-7796)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Ron Waisberg (CVE-2019-7794)

  • 来自 Qihoo360 Vulcan Team(奇虎 360 伏尔甘团队)的 Xudong Shao (CVE-2019-7784)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Peternguyen(CVE-2019-7814、CVE-2019-7760)

  • 来自 Palo Alto Networks 的 Gal De Leon(CVE-2019-7762)

  • 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic(CVE-2019-7831、CVE-2019-7761)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 hemidallt (CVE-2019-7809)

  • 来自腾讯玄武实验室的 Ke Liu(CVE-2019-7780、CVE-2019-7779、CVE-2019-7771、CVE-2019-7770、CVE-2019-7769、CVE-2019-7811、CVE-2019-7795、CVE-2019-7789、CVE-2019-7788)

  • 通过 Trend Micro(趋势科技)“Zero Day Initiative”计划报告漏洞的 Steven Seeley(CVE-2019-7829、CVE-2019-7828、CVE-2019-7827、CVE-2019-7810、CVE-2019-7804、CVE-2019-7803、CVE-2019-7802、CVE-2019-7801、CVE-2019-7800、CVE-2019-7799、CVE-2019-7798、CVE-2019-7787、CVE-2019-7786、CVE-2019-7785、CVE-2019-7145、CVE-2019-7144、CVE-2019-7143、CVE-2019-7141、CVE-2019-7140)

  • 来自 STARLabs 的 Wei Lei (CVE-2019-7142)

  • @j00sean(CVE-2019-7812、CVE-2019-7791、CVE-2019-7790)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 willJ (CVE-2019-7818)

  • 来自 Qihoo360 Vulcan Team(奇虎 360 伏尔甘团队)的 Zhenjie Jia (CVE-2019-7813)

  • 来自 Palo Alto Networks 的 Zhibin Zhang(CVE-2019-7841、CVE-2019-7836、CVE-2019-7835、CVE-2019-7774、CVE-2019-7767)

  • 来自 Palo Alto Networks 的 Bo Qu 和来自知道创宇 404 安全团队的 Heige(CVE-2019-7773、CVE-2019-7766、CVE-2019-7764)

  • 来自 Palo Alto Networks 的 Qi Deng(CVE-2019-7834、CVE-2019-7833、CVE-2019-7832、CVE-2019-7772、CVE-2019-7768)

  • 来自 Palo Alto Networks 的 Hui Gao(CVE-2019-7808、CVE-2019-7807、CVE-2019-7806)

  • 来自 Palo Alto Networks 的 Zhaoyan Xu(CVE-2019-7793、CVE-2019-7792、CVE-2019-7783)

  • 来自 Palo Alto Networks 的 Zhanglin He(CVE-2019-7782、CVE-2019-7781、CVE-2019-7778、CVE-2019-7765)

  • 来自 Palo Alto Networks 的 Taojie Wang(CVE-2019-7777、CVE-2019-7776、CVE-2019-7775、CVE-2019-7763)

  • 一名独立安全研究员将此漏洞报告给 SSD 安全披露项目 (CVE-2019-7805)
  • 来自 Source Incite 并参与 iDefense 实验室项目的 Steven Seeley (mr_me)(CVE-2019-7966、CVE-2019-7967)
  • 来自 CompuPlus, Inc. 的 Kevin Stoltz (CVE-2019-8238)

修订

2019 年 7 月 8 日:更新了“致谢”部分

2019 年 8 月 15 日:添加了关于 CVE-2019-7966 和 CVE-2019-7967 的详细信息

2019 年 10 月 23 日:添加了有关 CVE-2019-8238 的详细信息。