Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB19-49
ID bulletinu Datum zveřejnění Priorita
APSB19-49 15. října 2019 2

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickédůležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.    

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2019.012.20040 a starší verze  Windows a MacOS
Acrobat Reader DC Continuous  2019.012.20040 a starší verze  Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30148 a starší verze   Windows a MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 a starší verze Windows a MacOS
       
Acrobat 2015  Classic 2015 2015.006.30503 a starší verze  Windows a MacOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 a starší verze Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2019.021.20047 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows a macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows a macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows a macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Čtení mimo hranice   Neoprávněné zveřejnění informací   Důležitá   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Zápis mimo hranice  Svévolné spuštění kódu    Kritická

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Použití paměti po uvolnění    Svévolné spuštění kódu      Kritická

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Přetečení haldy  Svévolné spuštění kódu      Kritická

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Přeběhnutí zásobníku Svévolné spuštění kódu      Kritická CVE-2019-8166
Cross-site Scripting  Neoprávněné zveřejnění informací Důležitá   CVE-2019-8160
Konflikt časování Svévolné spuštění kódu   Kritická CVE-2019-8162
Nekompletní implementace zabezpečovacího mechanismu Neoprávněné zveřejnění informací Důležitá CVE-2019-8226
Záměna typu Svévolné spuštění kódu   Kritická

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Nedůvěryhodné přesměrování ukazatele Svévolné spuštění kódu  Kritická

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Chyby vyrovnávací paměti Svévolné spuštění kódu  Kritická CVE-2019-16470

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Anonymní uživatel spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 ze společnosti Viettel Cyber Security ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8172) 
  • Ke Liu z Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8064) 
  • Mat Powell spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk z projektu Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige of Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin a Lee JinYoung z laboratoře Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 z laboratoře SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) ze společnosti Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung z laboratoře STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research ve společnosti Flexera (CVE-2019-8222)
  • Aleksandar Nikolic ze společnosti Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) ze společnosti Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang a willJ z centra Chengdu Security Response Center společnosti Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme) a Li Qi(@leeqwind) a Yang Jianxiong(@sinkland_) ze společnosti Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung z laboratoře Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie z laboratoře Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng ze společnosti Qihoo 360 Core security a Jiadong Lu z univerzity South China University of Technology (CVE-2019-8162)
  • Zhangqing a Zhiyuan Wang z cdsrc ve společnosti Qihoo 360 (CVE-2019-16470)

Revize

11. listopadu 2019: Přidáno poděkování za CVE-2019-8195 a CVE-2019-8196.

13. února 2020: Přidáno poděkování za CVE-2019-16471 a CVE-2019-16470.