Adoben tietoturvatiedote
Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB19-07
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-07 12. helmikuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja MacOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.    

Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 
2019.010.20069 ja aiemmat versiot 
Windows ja macOS
Acrobat Reader DC Continuous
2019.010.20069 ja aiemmat versiot Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 ja aiemmat versiot Windows ja macOS
       
Acrobat DC  Classic 2015 2015.006.30464 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 ja aiemmat versiot  Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.010.20091 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows ja macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows ja macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows ja macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows ja macOS 2 Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Puskurivirheet Mielivaltaisen koodin suoritus  Kriittinen 

CVE-2019-7020

CVE-2019-7085

Tietojen vuotaminen (arkaluonteinen) Tietojen paljastuminen Kriittinen  CVE-2019-7089
Double free Mielivaltaisen koodin suoritus  Kriittinen  CVE-2019-7080
Kokonaisluvun ylivuoto Tietojen paljastuminen Kriittinen  CVE-2019-7030
Rajat ylittävä lukeminen Tietojen paljastuminen Tärkeä

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

Suojauksen ohitus Käyttöoikeuksien laajennus Kriittinen 

CVE-2018-19725

CVE-2019-7041

Rajat ylittävä kirjoittaminen Mielivaltaisen koodin suoritus  Kriittinen 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Tyyppisekaannus Mielivaltaisen koodin suoritus   Kriittinen

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Ei-luotetun osoittimen viitteen poisto Mielivaltaisen koodin suoritus    Kriittinen

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Vapautuksen jälkeinen käyttö  Mielivaltaisen koodin suoritus   Kriittinen 

CVE-2019-7018

CVE-2019-7025

CVE-2019-7026

CVE-2019-7029

CVE-2019-7031

CVE-2019-7040

CVE-2019-7043

CVE-2019-7044

CVE-2019-7048

CVE-2019-7050

CVE-2019-7062

CVE-2019-7068

CVE-2019-7070

CVE-2019-7072

CVE-2019-7075

CVE-2019-7077

CVE-2019-7078

CVE-2019-7082

CVE-2019-7083

CVE-2019-7084

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Sebastian Apelt  Trend Micron Zero Day -ohjelman kautta (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri Trend Micron Zero Day -ohjelman kautta (CVE-2018-19725, CVE-2019-7041) 

  • Qihoo 360 Vulcan Teamin Linan Hao ja Zhenjie Jia (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean yhteistyössä iDefense Labsin kanssa (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic, Cisco Talos. (CVE-2019-7039)

  • Nimetön yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2019-7077)

  • Gal De Leon, Palo Alto Networks (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2019-7078)

  • kdot yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7049)

  • Tencent Security Xuanwu Labin Ke Liu (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Trend Micro Zero Day -ohjelman Mat Powell (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon ja Netanel Ben-Simon, Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley, Trend Micron Zero Day -ohjelman kautta (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r Trend Micron Zero Day -ohjelman kanssa (CVE-2019-7042, CVE-2019-7043)

  • Source Inciten Steven Seeley (mr_me) yhteistyössä iDefense Labsin kanssa (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng ja Su Purui Kiinan tiedeakatemian TCA/SKLCS Institute of Software -yksiköstä (CVE-2019-7076)

  • Qihoo360 Vulcan Teamin Zhenjie Jia (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang Qihoo 360 Technology Co. Ltd:n Chengdu Security Response Centeristä yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2019-7079)

  • Bo Qu Palo Alto Networksista ja Heige Knownsec 404 Security Teamistä (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Palo Alto Networksin Zhibin Zhang (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Palo Alto Networksin Qi Deng (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Palo Alto Networksin Hui Gao (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Palo Alto Networksin Zhaoyan Xu (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Palo Alto Networksin Zhanglin He (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei, STARLabs (CVE-2019-7035)

Versiot

1. huhtikuuta 2019: Kiitokset-osioon lisätty viittaus CVE-2019-7035:een.