Sikkerhedsopdateringer til Adobe Acrobat og Reader | APSB19-49
Bulletin-ID Udgivelsesdato Prioritet
APSB19-49 15. oktober 2019 2

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og macOS. Disse opdateringer løser kritiske og vigtige sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel for den aktuelle bruger.    

Berørte versioner

Produkt Track Berørte versioner Platform
Acrobat DC  Continuous 

2019.012.20040 og tidligere versioner  Windows og macOS
Acrobat Reader DC Continuous  2019.012.20040 og tidligere versioner  Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 og tidligere versioner   Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 og tidligere versioner Windows og macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 og tidligere versioner  Windows og macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 og tidligere versioner Windows og macOS

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge vejledningen nedenfor.    

De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:    

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.     

  • Produkterne opdateres automatisk, når der registreres opdateringer, uden at det kræver brugerens opmærksomhed.      

  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra  Acrobat Reader Download Center.     

For IT-administratorer (administrerede miljøer):     

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.

  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på MacOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:   

Produkt Track Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC Continuous 2019.021.20047 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows og macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows og macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows og macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows og macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows og macOS 2

Windows

macOS

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-nummer
Out-of-bounds-læsning   Afsløring af oplysninger   Vigtig   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Out-of-bounds-skrivning  Vilkårlig kodekørsel    Kritisk

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Use-after-free    Vilkårlig kodekørsel      Kritisk

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Heap-overflow  Vilkårlig kodekørsel      Kritisk

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Bufferoverløb Vilkårlig kodekørsel      Kritisk CVE-2019-8166
Cross-site Scripting (XSS)  Afsløring af oplysninger Vigtig    CVE-2019-8160
Race-betingelse Vilkårlig kodekørsel   Kritisk CVE-2019-8162
Ufuldstændig implementering af sikkerhedsmekanisme Afsløring af oplysninger Vigtig  CVE-2019-8226
Forveksling af typer Vilkårlig kodekørsel   Kritisk

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Upålidelig pointer-dereference Vilkårlig kodekørsel  Kritisk

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Bufferfejl Vilkårlig kodekørsel  Kritisk CVE-2019-16470

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:    

  • Anonymous i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie fra Baidu Security Lab i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 fra Viettel Cyber Security i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian i samarbejde med Trend Micro's Zero Day Initiative (CVE-2019-8172) 
  • Ke Liu fra Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8064) 
  • Mat Powell fra Trend Micro Zero Day Initiative (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk fra Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) fra Source Incite i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige fra Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin og Lee JinYoung fra Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 fra SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) fra Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung fra STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research hos Flexera (CVE-2019-8222)
  • Aleksandar Nikolic fra Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) fra Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang og willJ fra Chengdu Security Response Center fra Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme) og Li Qi(@leeqwind) og Yang Jianxiong(@sinkland_) fra Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung fra Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu fra Palo Alto Networks og Heige fra Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang fra Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) i samarbejde med Trend Micro Zero Day Initiative (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie fra Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng fra Qihoo 360 Core security & Jiadong Lu fra South China University of Technology (CVE-2019-8162)
  • Zhangqing og Zhiyuan Wang fra cdsrc of Qihoo 360 (CVE-2019-16470)

Revisioner

11. november 2019: Der er tilføjet anerkendelse for  CVE-2019-8195 og CVE-2019-8196.

13. februar 2020: Der er tilføjet anerkendelse for CVE-2019-16471 og CVE-2019-16470.