Bezpečnostní bulletin pro aplikace Adobe Acrobat a Reader | APSB19-41
ID bulletinu Datum zveřejnění Priorita
APSB19-41 13. srpna 2019 2

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší důležité chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.    

Postižené verze

Tyto aktualizace vyřeší důležité chyby zabezpečení v softwaru. Společnost Adobe těmto aktualizacím udělí následující prioritu:

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2019.012.20034 a starší verze  macOS
Acrobat DC  Continuous  2019.012.20035 a starší verze Windows
Acrobat Reader DC Continuous

2019.012.20034 a starší verze  macOS
Acrobat Reader DC Continuous  2019.012.20035 a starší verze  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 a starší verze   macOS
Acrobat DC  Classic 2017 2017.011.30143 a starší verze Windows
Acrobat Reader DC Classic 2017 2017.011.30142 a starší verze macOS
Acrobat Reader DC Classic 2017 2017.011.30143 a starší verze Windows
       
Acrobat DC  Classic 2015 2015.006.30497 a starší verze  macOS
Acrobat DC  Classic 2015 2015.006.30498 a starší verze Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 a starší verze  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 a starší verze Windows

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2019.012.20036 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows a macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows a macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows a macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows a macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE

Čtení mimo hranice   

 

 

Neoprávněné zveřejnění informací   

 

 

Důležitá   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Zápis mimo hranice   

 

 

Svévolné spuštění kódu    

 

 

Důležitá  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Vložení příkazu  Svévolné spuštění kódu   Důležitá CVE-2019-8060

Použití paměti po uvolnění   

 

 

Svévolné spuštění kódu     

 

 

Důležitá

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Přetečení haldy 

 

 

Svévolné spuštění kódu     

 

 

Důležitá

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Chyba vyrovnávací paměti  Svévolné spuštění kódu       Důležitá   CVE-2019-8048
Dvojité volání funkce free  Svévolné spuštění kódu      Důležitá    CVE-2019-8044 
Přetečení celého čísla Neoprávněné zveřejnění informací Důležitá

CVE-2019-8099

CVE-2019-8101

Prozrazení interní IP adresy Neoprávněné zveřejnění informací Důležitá CVE-2019-8097
Záměna typu Svévolné spuštění kódu   Důležitá

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Nedůvěryhodné přesměrování ukazatele

 

 

Svévolné spuštění kódu 

 

 

Důležitá

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Nedostatečně silné šifrování Obcházení bezpečnostních funkcí Kritická CVE-2019-8237
Záměna typu Neoprávněné zveřejnění informací Důležité

CVE-2019-8251

CVE-2019-8252

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Dhanesh Kizhakkinan ze společnosti FireEye Inc. (CVE-2019-8066) 
  • Xu Peng a Su Purui z TCA/SKLCS Institute of Software Chinese Academy of Sciences a Codesafe Team ze společnosti Legendsec ve skupině Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, nezávislý bezpečnostní výzkumník; https://imAK.xyz/ (CVE-2019-8097)
  • Anonym ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei ze STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) a Liao Bangjie (@b1acktrac3) z Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 
  • Ke Liu z laboratoře Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie z Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8014)  
  • Mat Powell z iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk z projektu Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8019) 
  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující s iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) ze společnosti Source Incite spolupracující s týmem iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu a Hui Gao ze společnosti Palo Alto Networks (CVE-2019-8026, CVE-2019-8028)
  • Lexuan Sun a Hao Cai ze společnosti Palo Alto Networks (CVE-2019-8025) 
  • Bit ze společnosti STARLabs ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) z týmu Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) ze společnosti Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revize

14. srpna 2019: Přidáno poděkování za spolupráci na chybě zabezpečení CVE-2019-8016 a CVE-2019-8017.

22. srpna 2019: aktualizace ID z CVE-2019-7832 na CVE-2019-8066.

26. září 2019: Přidáno poděkování zas spolupráci na chybě zabezpečení CVE-2019-8060.

23. října 2019: Přidány podrobnosti o chybě zabezpečení CVE-2019-8237.

19. listopadu 2019: Přidány podrobnosti o chybách zabezpečení CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252.

10. prosince 2019: Přidány podrobnosti o chybě zabezpečení CVE-2019-8257.