Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB19-49

ID bulletinu	Datum zveřejnění	Priorita
APSB19-49	15. října 2019	2

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické a důležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.    

Produkt	Stopa	Postižené verze	Platforma
Acrobat DC	Continuous	2019.012.20040 a starší verze	Windows a MacOS
Acrobat Reader DC	Continuous	2019.012.20040 a starší verze	Windows a MacOS

Acrobat 2017	Classic 2017	2017.011.30148 a starší verze	Windows a MacOS
Acrobat Reader 2017	Classic 2017	2017.011.30148 a starší verze	Windows a MacOS

Acrobat 2015	Classic 2015	2015.006.30503 a starší verze	Windows a MacOS
Acrobat Reader 2015	Classic 2015	2015.006.30503 a starší verze	Windows a MacOS

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     
Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.     
Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):     

Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     
Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt	Stopa	Aktualizované verze	Platforma	Úroveň priority	Dostupnost
Acrobat DC	Continuous	2019.021.20047	Windows a macOS	2	Windows     macOS
Acrobat Reader DC	Continuous	2019.021.20047	Windows a macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30150	Windows a macOS	2	Windows macOS
Acrobat Reader 2017	Classic 2017	2017.011.30150	Windows a macOS	2	Windows macOS

Acrobat 2015	Classic 2015	2015.006.30504	Windows a macOS	2	Windows macOS
Acrobat Reader 2015	Classic 2015	2015.006.30504	Windows a macOS	2	Windows macOS

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Číslo CVE
Čtení mimo hranice	Neoprávněné zveřejnění informací	Důležitá	CVE-2019-8164 CVE-2019-8168 CVE-2019-8172 CVE-2019-8173 CVE-2019-8064 CVE-2019-8182 CVE-2019-8184 CVE-2019-8185 CVE-2019-8189 CVE-2019-8163 CVE-2019-8190 CVE-2019-8193 CVE-2019-8194 CVE-2019-8198 CVE-2019-8201 CVE-2019-8202 CVE-2019-8204 CVE-2019-8207 CVE-2019-8216 CVE-2019-8218 CVE-2019-8222
Zápis mimo hranice	Svévolné spuštění kódu	Kritická	CVE-2019-8171 CVE-2019-8186 CVE-2019-8165 CVE-2019-8191 CVE-2019-8199 CVE-2019-8206
Použití paměti po uvolnění	Svévolné spuštění kódu	Kritická	CVE-2019-8175 CVE-2019-8176 CVE-2019-8177 CVE-2019-8178 CVE-2019-8179 CVE-2019-8180 CVE-2019-8181 CVE-2019-8187 CVE-2019-8188 CVE-2019-8192 CVE-2019-8203 CVE-2019-8208 CVE-2019-8209 CVE-2019-8210 CVE-2019-8211 CVE-2019-8212 CVE-2019-8213 CVE-2019-8214 CVE-2019-8215 CVE-2019-8217 CVE-2019-8219 CVE-2019-8220 CVE-2019-8221 CVE-2019-8223 CVE-2019-8224 CVE-2019-8225 CVE-2019-16471
Přetečení haldy	Svévolné spuštění kódu	Kritická	CVE-2019-8170 CVE-2019-8183 CVE-2019-8197
Přeběhnutí zásobníku	Svévolné spuštění kódu	Kritická	CVE-2019-8166
Cross-site Scripting	Neoprávněné zveřejnění informací	Důležitá	CVE-2019-8160
Konflikt časování	Svévolné spuštění kódu	Kritická	CVE-2019-8162
Nekompletní implementace zabezpečovacího mechanismu	Neoprávněné zveřejnění informací	Důležitá	CVE-2019-8226
Záměna typu	Svévolné spuštění kódu	Kritická	CVE-2019-8161 CVE-2019-8167 CVE-2019-8169 CVE-2019-8200
Nedůvěryhodné přesměrování ukazatele	Svévolné spuštění kódu	Kritická	CVE-2019-8174 CVE-2019-8195 CVE-2019-8196 CVE-2019-8205
Chyby vyrovnávací paměti	Svévolné spuštění kódu	Kritická	CVE-2019-16470

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

Anonymní uživatel spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
Haikuo Xie z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8209, CVE-2019-8223)
hungtt28 ze společnosti Viettel Cyber Security ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8204)
Juan Pablo Lopez Yacubian spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8172)
Ke Liu z Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
L4Nce spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8064)
Mat Powell spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
Mateusz Jurczyk z projektu Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
peternguyen spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8176, CVE-2019-8224)
Steven Seeley (mr_me) ze společnosti Source Incite spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
Heige of Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160)
Xizsmin a Lee JinYoung z laboratoře Codemize Security Research Lab (CVE-2019-8218)
Mipu94 z laboratoře SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
Esteban Ruiz (mr_me) ze společnosti Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
Ta Dinh Sung z laboratoře STAR Labs (CVE-2019-8220, CVE-2019-8221)
Behzad Najjarpour Jabbari, Secunia Research ve společnosti Flexera (CVE-2019-8222)
Aleksandar Nikolic ze společnosti Cisco Talos. (CVE-2019-8183)
Nguyen Hong Quang (https://twitter.com/quangnh89) ze společnosti Viettel Cyber Security (CVE-2019-8193)
Zhiyuan Wang a willJ z centra Chengdu Security Response Center společnosti Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186)
Yangkang(@dnpushme) a Li Qi(@leeqwind) a Yang Jianxiong(@sinkland_) ze společnosti Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
Lee JinYoung z laboratoře Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216)
Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2019-8205)
Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2019-8206)
Andrew Hart (CVE-2019-8226)
peternguyen (meepwn ctf) spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8192, CVE-2019-8177)
Haikuo Xie z laboratoře Baidu Security Lab (CVE-2019-8184)
Zhiniang Peng ze společnosti Qihoo 360 Core security a Jiadong Lu z univerzity South China University of Technology (CVE-2019-8162)
Zhangqing a Zhiyuan Wang z cdsrc ve společnosti Qihoo 360 (CVE-2019-16470)

11. listopadu 2019: Přidáno poděkování za CVE-2019-8195 a CVE-2019-8196.

13. února 2020: Přidáno poděkování za CVE-2019-16471 a CVE-2019-16470.

Bezpečnostní bulletin společnosti Adobe

Shrnutí

Postižené verze

Řešení

Podrobnosti o chybě zabezpečení

Poděkování

Revize

Zeptat se komunity

Kontaktujte nás