Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB19-17
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-17 9. huhtikuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.  

Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 
2019.010.20098 ja aiemmat versiot 
Windows ja macOS
Acrobat Reader DC Continuous
2019.010.20098 ja aiemmat versiot Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30127 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30127 ja aiemmat versiot Windows ja macOS
       
Acrobat DC  Classic 2015 2015.006.30482 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC  Classic 2015 2015.006.30482 ja aiemmat versiot  Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.010.20099 Windows ja macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.010.20099
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30138 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30138 Windows ja macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30493 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30493 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen  Tietojen paljastuminen   Tärkeä  

CVE-2019-7061

CVE-2019-7109

CVE-2019-7110

CVE-2019-7114

CVE-2019-7115

CVE-2019-7116

CVE-2019-7121

CVE-2019-7122

CVE-2019-7123

CVE-2019-7127

Rajat ylittävä kirjoittaminen Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7111

CVE-2019-7118

CVE-2019-7119

CVE-2019-7120

CVE-2019-7124 

Tyyppisekaannus   Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7117

CVE-2019-7128

Vapautuksen jälkeinen käyttö   Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7088

CVE-2019-7112

Pinon ylivuoto Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7113

CVE-2019-7125

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Aleksandar Nikolic Cisco Talosista (CVE-2019-7125) 

  • Dhanesh Kizhakkinan FireEye Inc:stä (CVE-2019-7113)

  • Esteban Ruiz (mr_me) Source Incite -yhtiöstä Trend Micron Zero Day -ohjelman kautta (CVE-2019-7127)

  • Bo Qu, Palo Alto Networks, ja Heige, Knownsec 404 Security Team (CVE-2019-7061)

  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-7114, CVE-2019-7115 ja CVE-2019-7124)

  • Steven Seeley (mr_me), Source Incite yhdessä  iDefense Labsin kanssa (CVE-2019-7088, CVE-2019-7116, CVE-2019-7117 ja CVE-2019-7128) 

  • Steven Seeley Trend Micron Zero Day -ohjelman kautta (CVE-2019-7127)

  • Wei Lei,  STARLabs (CVE-2019-7118, CVE-2019-7119, CVE-2019-7120, CVE-2019-7121, CVE-2019-7122 ja CVE-2019-7123) 

  • Xu Peng ja  Su Purui Kiinan tiedeakatemian TCA/SKLCS-ohjelmistoinstuutista ja Legendsecin 360 Codesafe Team (CVE-2019-7112)

  • Zhiyuan Wang, Qihoo 360 Technology Co:n Chengdun tietoturvakeskus, Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2019-7109, CVE-2019-7110 ja CVE-2019-7111) 

Versiot

30. huhtikuuta 2019: Kiitokset-osion päivitys