可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB19-49
公告 ID 发布日期 优先级
APSB19-49 2019 年 10 月 15 日 2

摘要

Adobe 发布了适用于 Windows 和 macOS 的 Adobe Acrobat 和 Reader 的安全更新。这些更新解决了 多项关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2019.012.20040 和更早版本  Windows 和 macOS
Acrobat Reader DC Continuous 2019.012.20040 和更早版本  Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 和更早版本   Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 和更早版本 Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 和更早版本  Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 和更早版本 Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2019.021.20047 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
越界读取   信息泄露   重要   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

越界写入  任意代码执行    关键

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

释放后使用 任意代码执行 关键

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

堆溢出 任意代码执行 关键

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

缓冲区溢出 任意代码执行 关键 CVE-2019-8166
跨站点脚本  信息泄露 重要    CVE-2019-8160
争用情况 任意代码执行   关键 CVE-2019-8162
安全机制实施不完整 信息泄露 重要  CVE-2019-8226
类型混淆 任意代码执行   关键

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

不受信任的指针解除引用 任意代码执行 关键

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

缓冲区错误 任意代码执行 关键 CVE-2019-16470

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 参与趋势科技“零日计划”(Zero Day Initiative) 的匿名人士(CVE-2019-8203、CVE-2019-8208、CVE-2019-8210、CVE-2019-8217、CVE-2019-8219 和 CVE-2019-8225)
  • 来自百度安全实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Haikuo Xie(CVE-2019-8209、CVE-2019-8223)
  • 来自 Viettel Cyber Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 hungtt28 (CVE-2019-8204)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Juan Pablo Lopez Yacubian (CVE-2019-8172)
  • 来自腾讯安全玄武实验室的 Ke Liu(CVE-2019-8199、CVE-2019-8200、CVE-2019-8201、CVE-2019-8202、CVE-2019-16471)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 L4Nce (CVE-2019-8064)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Mat Powell(CVE-2019-8166、CVE-2019-8175、CVE-2019-8178、CVE-2019-8179、CVE-2019-8180、CVE-2019-8181、CVE-2019-8187、CVE-2019-8188、CVE-2019-8189、CVE-2019-8163、CVE-2019-8190、CVE-2019-8165 和 CVE-2019-8191)
  • 来自谷歌“Project Zero”团队的 Mateusz Jurczyk(CVE-2019-8195、CVE-2019-8196、CVE-2019-8197)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 peternguyen(CVE-2019-8176、CVE-2019-8224)
  • 来自 Source Incite 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Steven Seeley (mr_me)(CVE-2019-8170、CVE-2019-8171、CVE-2019-8173 和 CVE-2019-8174)
  • 来自知道创宇 404 安全团队的 Heige (http://www.knownsec.com/) (CVE-2019-8160) 
  • 来自 Codemize Security Research Lab 的 Xizsmin 和 Lee JinYoung (CVE-2019-8218)
  • 来自亚利桑那州立大学 SEFCOM 实验室的 Mipu94(CVE-2019-8211、CVE-2019-8212、CVE-2019-8213、CVE-2019-8214 和 CVE-2019-8215)
  • 来自 Source Incite 的 Esteban Ruiz (mr_me)(CVE-2019-8161、CVE-2019-8164、CVE-2019-8167、CVE-2019-8168、CVE-2019-8169 和 CVE-2019-8182)
  • 来自 STAR Labs 的 Ta Dinh(CVE-2019-8220、CVE-2019-8221)
  • 来自 Flexera 的 Behzad Najjarpour Jabbari 和 Secunia Research (CVE-2019-8222)
  • 来自思科 Talos 团队的 Aleksandar Nikolic。(CVE-2019-8183) 
  • 来自 Viettel Cyber Security 的 Nguyen Hong Quang (https://twitter.com/quangnh89) (CVE-2019-8193)
  • 来自奇虎 360 科技有限公司成都安全应急响应中心的 Zhiyuan Wang 和 willJ(CVE-2019-8185、CVE-2019-8186)
  • 来自奇虎 360 核心安全团队 (@360CoreSec) 的 Yangkang(@dnpushme)、Li Qi(@leeqwind) 和 Yang Jianxiong(@sinkland_) (CVE-2019-8194)
  • 来自 Codemize Security Research Lab (http://codemize.co.kr) 的 Lee JinYoung (CVE-2019-8216)
  • 来自派拓网络的 Bo Qu 和来自知道创宇 404 安全团队的 Heige (CVE-2019-8205)
  • 来自派拓网络的 Zhibin Zhang (CVE-2019-8206)
  • Andrew Hart (CVE-2019-8226)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 peternguyen (meepwn ctf)(CVE-2019-8192、CVE-2019-8177)
  • 来自百度安全实验室的 Haikuo Xie (CVE-2019-8184)
  • 来自奇虎 360 核心安全团队的 Zhiniang Peng 和来自华南理工大学的 Jiadong Lu (CVE-2019-8162)
  • 来自奇虎 360 科技有限公司成都安全应急响应中心的 Zhangqing 和 Zhiyuan Wang (CVE-2019-16470)

修订

2019 年 11 月 11 日:添加了对 CVE-2019-8195 和 CVE-2019-8196 两个漏洞的致谢。

2020 年 2 月 13 日:添加了向发现 CVE-2019-16471 和 CVE-2019-16470 漏洞的人员致谢的内容。