Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB19-07
ID bulletinu Datum zveřejnění Priorita
APSB19-07 12. února 2019 2

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickédůležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.    

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Průběžná 
2019.010.20069 a starší verze 
Windows a macOS
Acrobat Reader DC Průběžně
2019.010.20069 a starší verze Windows a macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 a starší verze Windows a macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 a starší verze Windows a macOS
       
Acrobat DC  Classic 2015 2015.006.30464 a starší verze  Windows a macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 a starší verze  Windows a macOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.  

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2019.010.20091 Windows a macOS 2 Windows

macOS
Acrobat Reader DC Průběžně 2019.010.20091
Windows a macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows a macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows a macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows a macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows a macOS 2 Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Chyby vyrovnávací paměti Svévolné spuštění kódu  Kritická

CVE-2019-7020

CVE-2019-7085

Únik (citlivých) dat Neoprávněné zveřejnění informací Kritická CVE-2019-7089
Dvojité volání funkce free Svévolné spuštění kódu  Kritická CVE-2019-7080
Přetečení celého čísla Neoprávněné zveřejnění informací Kritická CVE-2019-7030
Čtení mimo hranice Neoprávněné zveřejnění informací Důležité

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Překonání prvků zabezpečení Eskalace oprávnění Kritická

CVE-2018-19725

CVE-2019-7041

Zápis mimo hranice Svévolné spuštění kódu  Kritická

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Záměna typu Svévolné spuštění kódu   Kritická

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Nedůvěryhodné přesměrování ukazatele Svévolné spuštění kódu    Kritická

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Použití paměti po uvolnění  Svévolné spuštění kódu   Kritická 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Sebastian Apelt  v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048)

  • Abdul-Aziz Hariri v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-19725, CVE-2019-7041)

  • Linan Hao a Zhenjie Jia z týmu Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean spolupracující s laboratoří iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic ze společnosti Cisco Talos. (CVE-2019-7039)

  • Anonym spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7077)

  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7078)

  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7049)

  • Ke Liu z laboratoře Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon a Netanel Ben-Simon ze společnosti Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující s laboratoří iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tým Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng a Su Purui z TCA/SKLCS Institute of Software na Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia z týmu Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang ze střediska Chengdu Security Response Center ve společnosti Qihoo 360 Technology Co. Ltd. spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7079)

  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng ze společnosti Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao ze společnosti Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu ze společnosti Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He ze společnosti Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)