Adobe-Sicherheitsbulletin für Adobe Acrobat und Reader | APSB19-41
Bulletin-ID Veröffentlichungsdatum Priorität
APSB19-41 13. August 2019 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Diese Updates beheben wichtige Sicherheitslücken.  Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.    

Betroffene Versionen

Diese Updates beheben wichtige Sicherheitslücken in der Software. Adobe stuft die Priorität dieser Updates wie folgt ein:

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 

2019.012.20034 und frühere Versionen  macOS
Acrobat DC  Continuous  2019.012.20035 und frühere Versionen Windows
Acrobat Reader DC Continuous

2019.012.20034 und frühere Versionen  macOS
Acrobat Reader DC Continuous  2019.012.20035 und frühere Versionen  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 und frühere Versionen   macOS
Acrobat DC  Classic 2017 2017.011.30143 und frühere Versionen Windows
Acrobat Reader DC Classic 2017 2017.011.30142 und frühere Versionen macOS
Acrobat Reader DC Classic 2017 2017.011.30143 und frühere Versionen Windows
       
Acrobat DC  Classic 2015 2015.006.30497 und frühere Versionen  macOS
Acrobat DC  Classic 2015 2015.006.30498 und frühere Versionen Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 und frühere Versionen  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 und frühere Versionen Windows

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2019.012.20036 Windows und macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows und macOS 2

Windows 



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows und macOS 2

Windows 

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows und macOS 2

Windows 

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows und macOS 2

Windows 

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows und macOS 2

Windows 

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer

Lesevorgang außerhalb des gültigen Bereichs   

 

 

Offenlegung von Informationen   

 

 

Wichtig   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Schreibvorgang außerhalb des gültigen Bereichs   

 

 

Willkürliche Ausführung von Code    

 

 

Wichtig  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Befehlseinschleusung  Willkürliche Ausführung von Code   Wichtig  CVE-2019-8060

Use After Free   

 

 

Willkürliche Ausführung von Code     

 

 

Wichtig 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Heap-Überlauf 

 

 

Willkürliche Ausführung von Code     

 

 

Wichtig 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Pufferfehler  Willkürliche Ausführung von Code       Wichtig   CVE-2019-8048
Double Free  Willkürliche Ausführung von Code      Wichtig    CVE-2019-8044 
Ganzzahlüberlauf Offenlegung von Informationen Wichtig 

CVE-2019-8099

CVE-2019-8101

Offenlegung der internen IP Offenlegung von Informationen Wichtig  CVE-2019-8097
Typverwechslung Willkürliche Ausführung von Code   Wichtig 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Nicht vertrauenswürdige Zeiger-Dereferenzierung

 

 

Willkürliche Ausführung von Code 

 

 

Wichtig 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Unzureichend zuverlässige Verschlüsselung Umgehung der Sicherheitsfunktionen Kritisch CVE-2019-8237
Typverwechslung Offenlegung von Informationen Wichtig

CVE-2019-8251

CVE-2019-8252

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:    

  • Dhanesh Kizhakkinan von FireEye Inc. (CVE-2019-8066) 
  • Xu Peng und Su Purui vom TCA/SKLCS Institute of Software der chinesischen Akademie der Wissenschaften und das Codesafe-Team von Legendsec der Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, unabhängiger Sicherheitsforscher; https://imAK.xyz/ (CVE-2019-8097)
  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei von STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) und Liao Bangjie (@b1acktrac3) von Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012)
  • Ke Liu vom Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie vom Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8014) 
  • Mat Powell von der Zero Day Initiative von Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk von Google Project Zero (CVE -2019-8041, CVE -2019-8042, CVE -2019-8043, CVE -2019-8044, CVE -2019-8045, CVE -2019-8046, CVE -2019-8047, CVE -2019-8048, CVE -2019-8049, CVE -2019-8050, CVE -2019-8016, CVE -2019-8017) 
  • Michael Bourque (CVE-2019-8007) 
  • Peternguyen in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun von der Zero Day Initiative von Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8019) 
  • Steven Seeley (mr_me) von Source Incite in Zusammenarbeit mit iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) von Source Incite in Zusammenarbeit mit iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu von Palo Alto Networks und Heige vom Knownsec 404-Sicherheitsteam (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao von Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai von Palo Alto Networks (CVE-2019-8025) 
  • Bit von STARLabs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li (CK01) vom Topsec Alpha-Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) von Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Überarbeitungen

14. August 2019: Bestätigung für CVE-2019-8016 und CVE-2019-8017 hinzugefügt.

22. August 2019. Aktualisierte CVE-Identifikation von CVE-2019-7832 zu CVE -2019-8066.

26. September 2019: Danksagung für CVE-2019-8060 hinzugefügt.

23. Oktober 2019: Details zu CVE-2019-8237 eingefügt.

19. November 2019: Details zu CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252 eingefügt.

10. Dezember 2019: Details zu CVE-2019-8257 eingefügt.