适用于 Adobe Acrobat 和 Reader 的安全公告 | APSB19-41
公告 ID 发布日期 优先级
APSB19-41 2019 年 8 月 13 日 2

摘要

Adobe 发布了适用于 Windows 和 macOS 的 Adobe Acrobat 和 Reader 的安全更新。这些更新解决了 重要漏洞。 如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

这些更新在软件中解决了重要漏洞。Adobe 将对这些更新指定以下优先级

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2019.012.20034 和更早版本 macOS
Acrobat DC  Continuous 2019.012.20035 和更早版本 Windows
Acrobat Reader DC Continuous

2019.012.20034 和更早版本 macOS
Acrobat Reader DC Continuous 2019.012.20035 和更早版本 Windows
       
Acrobat DC  Classic 2017 2017.011.30142 和更早版本 macOS
Acrobat DC  Classic 2017 2017.011.30143 和更早版本 Windows
Acrobat Reader DC Classic 2017 2017.011.30142  和更早版本 macOS
Acrobat Reader DC Classic 2017 2017.011.30143 和更早版本 Windows
       
Acrobat DC  Classic 2015 2015.006.30497 和更早版本 macOS
Acrobat DC  Classic 2015 2015.006.30498 和更早版本 Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 和更早版本 macOS
Acrobat Reader DC Classic 2015 2015.006.30498 和更早版本 Windows

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2019.012.20036 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows 和 macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows 和 macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号

越界读取   

 

 

信息泄露

 

 

重要   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

越界写入

 

 

任意代码执行

 

 

重要

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

命令注入 任意代码执行 重要 CVE-2019-8060

释放后使用

 

 

任意代码执行

 

 

重要

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

堆溢出

 

 

任意代码执行

 

 

重要

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

缓冲区错误 任意代码执行  重要 CVE-2019-8048
重复释放 任意代码执行 重要    CVE-2019-8044 
整数溢出 信息泄露 重要 

CVE-2019-8099

CVE-2019-8101

内部 IP 泄露 信息泄露 重要 CVE-2019-8097
类型混淆 任意代码执行   重要

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

不受信任的指针解除引用

 

 

任意代码执行

 

 

重要

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

加密的稳健性不足 安全功能旁路 关键 CVE-2019-8237
类型混淆 信息泄露 重要

CVE-2019-8251

CVE-2019-8252

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 来自 FireEye 公司的 Dhanesh Kizhakkinan (CVE-2019-8066) 
  • 来自中国科学院软件研究所 TCA/SKLCS 实验室的 Xu Peng 和 Su Purui,以及来自奇安信集团 Legendsec 代码卫士团队(CVE-2019-8029、CVE-2019-8030、CVE-2019-8031)
  • (A.K) 独立安全研究人员 Karim Zidani;https://imAK.xyz/ (CVE-2019-8097)
  • 来自趋势科技 Zero Day Initiative 计划的匿名人士(CVE-2019-8033、CVE-2019-8037)
  • BUGFENSE 匿名错误报告赏金计划 https://bugfense.io (CVE-2019-8015) 
  • 来自百度安全实验室并参与趋势科技 Zero Day Initiative 计划的 Haikuo Xie(CVE-2019-8035、CVE-2019-8257)
  • 来自 STAR 实验室的 Wei Lei(CVE-2019-8009、CVE-2019-8018、CVE-2019-8010、CVE-2019-8011)
  • 来自奇虎 360 核心安全 (@360CoreSec) 的 Li Qi(@leeqwind)、Wang Lei(@CubestoneW) 和 Liao Bangjie(@b1acktrac3) (CVE-2019-8012)
  • 来自腾讯安全玄武实验室的 Ke Liu(CVE-2019-8094、CVE-2019-8095、CVE-2019-8096、CVE-2019-8004、CVE-2019-8005、CVE-2019-8006、CVE-2019-8077、CVE-2019-8003、CVE-2019-8020、CVE-2019-8021、CVE-2019-8022、CVE-2019-8023)
  • 来自百度安全实验室的 Haikuo Xie(CVE-2019-8032、CVE-2019-8036)
  • 参与趋势科技 Zero Day Initiative 计划的 ktkitty (https://ktkitty.github.io) (CVE-2019-8014)
  • 参与趋势科技 Zero Day Initiative 计划的 Mat Powell(CVE-2019-8008、CVE-2019-8051、CVE-2019-8053、CVE-2019-8054、CVE-2019-8056、CVE-2019-8057、CVE-2019-8058、CVE-2019-8059)
  • 来自 Google Project Zero 团队的 Mateusz Jurczyk(CVE-2019-8041、CVE-2019-8042、CVE-2019-8043、CVE-2019-8044、CVE-2019-8045、CVE-2019-8046、CVE-2019-8047、CVE-2019-8048、CVE-2019-8049、CVE-2019-8050、CVE-2019-8016、CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • 参与趋势科技 Zero Day Initiative 计划的 peternguyen(CVE-2019-8013、CVE-2019-8034)
  • 来自趋势科技 Zero Day Initiative 计划的 Simon Zuckerbraun (CVE-2019-8027) 
  • 来自 Source Incite 并参与趋势科技 Zero Day Initiative 计划的 Steven Seeley (mr_me) (CVE-2019-8019)
  • 来自 iDefense 实验室 (https://vcp.idefense.com/) Source Incite 的 Steven Seeley (mr_me)(CVE-2019-8098、CVE-2019-8099、CVE-2019-8100、CVE-2019-8101、CVE-2019-8102、CVE-2019-8103、CVE-2019-8104、CVE-2019-8106、CVE-2019-7965、CVE-2019-8105)
  • 参与趋势科技 Zero Day Initiative 计划的 willJ(CVE-2019-8040、CVE-2019-8052)
  • 来自 iDefense 实验室 (https://vcp.idefense.com/) Source Incite 的 Esteban Ruiz (mr_me) (CVE-2019-8002)
  • 来自派拓网络的 Bo Qu 和来自 Knownsec 404 安全团队的 Heige(CVE-2019-8024、CVE-2019-8061、CVE-2019-8055)
  • 来自派拓网络的 Zhaoyan Xu 和 Hui Gao(CVE-2019-8026、CVE-2019-8028)
  • 来自派拓网络的 Lexuan Sun 和 Hao Cai (CVE-2019-8025)
  • 来自 STAR 实验室并参与趋势科技 Zero Day Initiative 计划的 Bit(CVE-2019-8038、CVE-2019-8039)
  • 来自天融信阿尔法团队的 Zhongcheng Li(CK01) (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • 来自 Source Incite 的 Steven Seeley (mr_me)(CVE-2019-8249、CVE-2019-8250、CVE-2019-8251、CVE-2019-8252)

修订

2019 年 8 月 14 日:增加了对 CVE-2019-8016 和 CVE-2019-8017 的确认。

2019 年 8 月 22 日:更新了CVE id CVE-2019-7832至CVE-2019-8066。

2019 年 9 月 26 日:增加了对 CVE-2019-8060 的确认。

2019 年 10 月 23 日:包含了有关 CVE-2019-8237 的详细信息。

2019 年 11 月 19 日:包含了有关 CVE-2019-8249、CVE-2019-8250、CVE-2019-8251、CVE-2019-8252 的详细信息

2019 年 12 月 10 日:包含了有关 CVE-2019-8257 的详细信息。