Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader | APSB19-55
ID bulletinu Datum zveřejnění Priorita
APSB19-55 10. prosince 2019 2

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickédůležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.    

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2019.021.20056 a starší verze  Windows a MacOS
Acrobat Reader DC Continuous   2019.021.20056 a starší verze  Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30152 a starší verze  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 a starší verze macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 a starší verze  Windows a MacOS
       
Acrobat 2015  Classic 2015 2015.006.30505 a starší verze Windows a MacOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 a starší verze Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2019.021.20058 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows a macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows a macOS 2

Systém Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows a macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Čtení mimo hranice   Neoprávněné zveřejnění informací   Důležitá   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Zápis mimo hranice  Svévolné spuštění kódu    Kritická

CVE-2019-16450

CVE-2019-16454

Použití paměti po uvolnění    Svévolné spuštění kódu      Kritická

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Přetečení haldy  Svévolné spuštění kódu      Kritická CVE-2019-16451
Chyba vyrovnávací paměti Svévolné spuštění kódu      Kritická CVE-2019-16462
Nedůvěryhodné přesměrování ukazatele Svévolné spuštění kódu  Kritická

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Binární sázení (eskalace oprávnění pro výchozí složku)  Eskalace oprávnění Důležitá CVE-2019-16444
Překonání prvků zabezpečení Svévolné spuštění kódu Kritická CVE-2019-16453

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Mateusz Jurczyk z Google Project Zero a anonym spolupracující s Trend Micro Zero Day Initiative (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444) 

  • Ke Liu z laboratoře Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94), SEFCOM Lab, Arizona State University (CVE-2019-16446, CVE-2019-16448) 

  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2019-16463)

  • Tým technické podpory společnosti HTBLA Leonding (CVE-2019-16453) 

  • Haikuo Xie, Baidu Security Lab (CVE-2019-16461)

  • Bit, STAR Labs (CVE-2019-16452) 

  • Xinyu Wan a Yiwei Zhang z čínské univerzity Renmin University (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2019-16456) 

  • Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2019-16457)

  • Qi Deng, Ken Hsu ze společnosti Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun a Hao Cai ze společnosti Palo Alto Networks (CVE-2019-16459)

  • Yue Guan, Haozhe Zhang ze společnosti Palo Alto Networks (CVE-2019-16464) 

  • Hui Gao ze společnosti Palo Alto Networks (CVE-2019-16465)

  • Zhibin Zhang, Yue Guan ze společnosti Palo Alto Networks (CVE-2019-16465)