Adobe Acrobatin ja Readerin tietoturvatiedote | APSB19-18
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-18 14. toukokuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.     

Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 
2019.010.20100 ja aiemmat versiot 
Windows ja macOS
Acrobat Reader DC Continuous
2019.010.20099 ja aiemmat versiot Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30140 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 ja aiemmat versiot Windows ja macOS
       
Acrobat DC  Classic 2015 2015.006.30495 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC  Classic 2015 2015.006.30493 ja aiemmat versiot  Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.012.20034 Windows ja macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows ja macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen  Tietojen paljastuminen   Tärkeä  

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

Rajat ylittävä kirjoittaminen Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

Tyyppisekaannus   Mielivaltaisen koodin suoritus   Kriittinen    CVE-2019-7820
Vapautuksen jälkeinen käyttö   Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

Pinon ylivuoto Mielivaltaisen koodin suoritus   Kriittinen   

CVE-2019-7828

CVE-2019-7827

Puskurivirhe Mielivaltaisen koodin suoritus   Kriittinen CVE-2019-7824
Double free Mielivaltaisen koodin suoritus     Kriittinen  CVE-2019-7784
Suojauksen ohitus Mielivaltaisen koodin suoritus  Kriittinen  CVE-2019-7779
Polun vaihtuminen Tietojen paljastuminen   Tärkeä CVE-2019-8238

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  •  Xu Peng ja  Su Purui, TCA/SKLCS Institute of Software Chinese Academy of Sciencesis, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7830 ja CVE-2019-7817)
  • hungtt28, Viettel Cyber Security, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7826 ja CVE-2019-7820) 

  • Esteban Ruiz (mr_me), Source Incite, yhteistyössä Trend Micro Zero Day Initiative -ohjelman kanssa (CVE-2019-7825, CVE-2019-7822 ja CVE-2019-7821)

  • Nimetön yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7824, CVE-2019-7823, CVE-2019-7797, CVE-2019-7759 ja CVE-2019-7758) 

  • T3rmin4t0r yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7796)

  • Ron Waisberg yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7794) 

  • Xudong Shao, Qihoo360 Vulcan Team (CVE-2019-7784)

  • Peternguyen yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7814 ja CVE-2019-7760) 

  • Gal De Leon, Palo Alto Networks (CVE-2019-7762)

  • Aleksandar Nikolic, Cisco Talos (CVE-2019-7831 ja CVE-2019-7761) 

  • hemidallt yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7809)

  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789 ja CVE-2019-7788) 

  • Steven Seeley Trend Micron Zero Day Initiative -ohjelman kautta (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141 ja CVE-2019-7140)

  • Wei Lei,  STARLabs (CVE-2019-7142) 

  • @j00sean (CVE-2019-7812, CVE-2019-7791 ja CVE-2019-7790)

  • willJ yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-7818) 

  • Zhenjie Jia, Qihoo360 Vulcan team (CVE-2019-7813)

  • Zhibin Zhang, Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774 ja CVE-2019-7767) 

  • Bo Qu, Palo Alto Networks, ja Heige, Knownsec 404 Security Team (CVE-2019-7773, CVE-2019-7766 ja CVE-2019-7764)

  • Qi Deng, Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772 ja CVE-2019-7768) 

  • Hui Gao, Palo Alto Networks (CVE-2019-7808, CVE-2019-7807 ja CVE-2019-7806)

  • Zhaoyan Xu, Palo Alto Networks (CVE-2019-7793, CVE-2019-7792 ja CVE-2019-7783) 

  • Zhanglin He, Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778 ja CVE-2019-7765)

  • Taojie Wang, Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775 ja CVE-2019-7763) 

  • Haavoittuvuudesta SSD Secure Disclosure -ohjelmaan ilmoittanut itsenäinen tietoturvatutkija (CVE-2019-7805)
  • Steven Seeley (mr_me) Source Incitesta yhteistyössä iDefense Labsin kanssa (CVE-2019- 7966, CVE-2019-7967)
  • Kevin Stoltz CompuPlus, Inc:stä (CVE-2019-8238)

Versiot

8. heinäkuuta 2019: Kiitokset-osion päivitys

15. elokuuta 2019: lisätty tiedot haavoittuvuuksista CVE-2019-7966 ja CVE-2019-7967.

23. lokakuuta 2019: lisätty tiedot haavoittuvuudesta CVE-2019-8238.