Bezpečnostní bulletin pro aplikace Adobe Acrobat a Reader | APSB19-18
ID bulletinu Datum zveřejnění Priorita
APSB19-18 14. května 2019 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickédůležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.     

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 
2019.010.20100 a starší verze 
Windows a macOS
Acrobat Reader DC Continuous
2019.010.20099 a starší verze Windows a macOS
       
Acrobat 2017 Classic 2017 2017.011.30140 a starší verze Windows a macOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 a starší verze Windows a macOS
       
Acrobat DC  Classic 2015 2015.006.30495 a starší verze  Windows a macOS
Acrobat Reader DC  Classic 2015 2015.006.30493 a starší verze  Windows a macOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.  

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2019.012.20034 Windows a macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows a macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows a macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows a macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows a macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Čtení mimo hranice  Neoprávněné zveřejnění informací   Důležitá  

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

Zápis mimo hranice Svévolné spuštění kódu   Kritická   

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

Záměna typu   Svévolné spuštění kódu   Kritická    CVE-2019-7820
Použití paměti po uvolnění   Svévolné spuštění kódu   Kritická   

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

Přetečení haldy Svévolné spuštění kódu   Kritická   

CVE-2019-7828

CVE-2019-7827

Chyba vyrovnávací paměti Svévolné spuštění kódu   Kritická CVE-2019-7824
Dvojité volání funkce free Svévolné spuštění kódu     Kritická CVE-2019-7784
Překonání prvků zabezpečení Svévolné spuštění kódu  Kritická CVE-2019-7779
Průchod cestou Neoprávněné zveřejnění informací   Důležitá CVE-2019-8238

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:   

  •  Xu Peng a Su Purui ze Softwarového institutu TCA/SKLCS Čínské akademie věd ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7830, CVE-2019-7817)
  • hungtt28 ze společnosti Viettel Cyber Security ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7826, CVE-2019-7820) 

  • Esteban Ruiz (mr_me) ze společnosti Source Incite v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7825, CVE-2019-7822, CVE-2019-7821)

  • Anonym ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7824, CVE-2019-7823, CVE-2019-7797, CVE-2019-7759, CVE-2019-7758) 

  • T3rmin4t0r ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7796)

  • Ron Waisberg ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7794) 

  • Xudong Shao z týmu Qihoo360 Vulcan (CVE-2019-7784)

  • Peternguyen ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7814, CVE-2019-7760) 

  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2019-7762)

  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2019-7831, CVE-2019-7761) 

  • hemidallt ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7809)

  • Ke Liu z laboratoře Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789, CVE-2019-7788) 

  • Steven Seeley v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141, CVE-2019-7140)

  • Wei Lei ze společnosti STARLabs (CVE-2019-7142) 

  • @j00sean (CVE-2019-7812, CVE-2019-7791, CVE-2019-7790)

  • willJ ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-7818) 

  • Zhenjie Jia z týmu Qihoo360 Vulcan (CVE-2019-7813)

  • Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774, CVE-2019-7767) 

  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security (CVE-2019-7773, CVE-2019-7766, CVE-2019-7764)

  • Qi Deng ze společnosti Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772, CVE-2019-7768) 

  • Hui Gao ze společnosti Palo Alto Networks (CVE-2019-7808, CVE-2019-7807, CVE-2019-7806)

  • Zhaoyan Xu ze společnosti Palo Alto Networks (CVE-2019-7793, CVE-2019-7792, CVE-2019-7783) 

  • Zhanglin He ze společnosti Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778, CVE-2019-7765)

  • Taojie Wang ze společnosti Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775, CVE-2019-7763) 

  • Nezávislý bezpečnostní výzkumník ohlásil tuto chybu zabezpečení programu SSD Secure Disclosure (CVE-2019-7805)
  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující s týmem iDefense Labs (CVE-2019-7966, CVE-2019-7967)
  • Kevin Stoltz ze společnosti CompuPlus, Inc. (CVE-2019-8238)

Revize

8. července 2019: Aktualizována část Poděkování

15. srpna 2019: Byly přidány podrobnosti o chybách zabezpečení CVE-2019-7966 a CVE-2019-7967

23. října 2019: Přidány podrobnosti o chybě zabezpečení CVE-2019-8238.