可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB19-55
公告 ID 发布日期 优先级
APSB19-55 2019 年 12 月 10 日 2

摘要

Adobe 发布了适用于 Windows 和 macOS 的 Adobe Acrobat 和 Reader 的安全更新。这些更新解决了 多项关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2019.021.20056 和更早版本  Windows 和 macOS
Acrobat Reader DC Continuous  2019.021.20056 和更早版本  Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 和更早版本  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 和更早版本 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 和更早版本  Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 和更早版本 Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 和更早版本 Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2019.021.20058 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
越界读取   信息泄露   重要   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

越界写入  任意代码执行    关键

CVE-2019-16450

CVE-2019-16454

释放后使用 任意代码执行 关键

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

堆溢出 任意代码执行 关键 CVE-2019-16451
缓冲区错误 任意代码执行 关键 CVE-2019-16462
不受信任的指针解除引用 任意代码执行 关键

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

二进制植入(默认文件夹权限提升) 权限提升 重要 CVE-2019-16444
安全旁路 任意代码执行 关键 CVE-2019-16453

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 来自谷歌“Project Zero”团队的 Mateusz Jurczyk 和参与趋势科技“零日计划”(Zero Day Initiative) 的匿名人士 (CVE-2019-16451)

  • Honc(章哲瑜)(CVE-2019-16444)

  • 来自腾讯安全玄武实验室的 Ke Liu。(CVE-2019-16445、CVE-2019-16449、CVE-2019-16450、CVE-2019-16454)

  • 亚利桑那州立大学 SEFCOM 实验室的 Sung Ta (@Mipu94)(CVE-2019-16446、CVE-2019-16448)

  • 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic (CVE-2019-16463)

  • HTBLA Leonding 的技术支持团队 (CVE-2019-16453)

  • 来自百度安全实验室的 Haikuo Xie (CVE-2019-16461)

  • 来自 STAR 实验室的 Bit (CVE-2019-16452)

  • 来自中国人民大学的 Newiu Wan 和 Yiwei Zhang(CVE-2019-16455、CVE-2019-16460、CVE-2019-16462)

  • 来自派拓网络的 Bo Qu 和来自知道创宇 404 安全团队的 Heige (CVE-2019-16456)

  • 来自派拓网络的 Zhibin Zhang (CVE-2019-16457)

  • 来自派拓网络的 Qi Deng、Ken Hsu (CVE-2019-16458)

  • 来自派拓网络的 Lexuan Sun 和 Hao Cai (CVE-2019-16459)

  • 来自派拓网络的 Yue Guan、Haozhe Zhang (CVE-2019-16464)

  • 来自派拓网络的 Hui Gao (CVE-2019-16465)

  • 来自派拓网络的 Zhibin Zhang、Yue Guan (CVE-2019-16465)