Adobe Acrobatin ja Readerin tietoturvatiedote | APSB19-41
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-41 13. elokuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat tärkeitä haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.    

Versiot

Nämä päivitykset korjaavat ohjelmiston tärkeitä haavoittuvuuksia. Adobe määrittää päivityksille seuraavat  prioriteettiluokitukset:

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2019.012.20034 ja aiemmat versiot  macOS
Acrobat DC  Continuous  2019.012.20035 ja aiemmat versiot Windows
Acrobat Reader DC Continuous

2019.012.20034 ja aiemmat versiot  macOS
Acrobat Reader DC Continuous  2019.012.20035 ja aiemmat versiot  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 ja aiemmat versiot   macOS
Acrobat DC  Classic 2017 2017.011.30143 ja aiemmat versiot Windows
Acrobat Reader DC Classic 2017 2017.011.30142 ja aiemmat versiot macOS
Acrobat Reader DC Classic 2017 2017.011.30143 ja aiemmat versiot Windows
       
Acrobat DC  Classic 2015 2015.006.30497 ja aiemmat versiot  macOS
Acrobat DC  Classic 2015 2015.006.30498 ja aiemmat versiot Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 ja aiemmat versiot  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 ja aiemmat versiot Windows

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.012.20036 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows ja macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows ja macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows ja macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero

Rajat ylittävä lukeminen   

 

 

Tietojen paljastuminen   

 

 

Tärkeä   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Rajat ylittävä kirjoittaminen   

 

 

Mielivaltaisen koodin suoritus    

 

 

Tärkeä  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Komentojen lisäys  Mielivaltaisen koodin suoritus   Tärkeä  CVE-2019-8060

Vapautuksen jälkeinen käyttö   

 

 

Mielivaltaisen koodin suoritus     

 

 

Tärkeä 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Pinon ylivuoto 

 

 

Mielivaltaisen koodin suoritus     

 

 

Tärkeä 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Puskurivirhe  Mielivaltaisen koodin suoritus       Tärkeä   CVE-2019-8048
Double free  Mielivaltaisen koodin suoritus      Tärkeä    CVE-2019-8044 
Kokonaisluvun ylivuoto Tietojen paljastuminen Tärkeä 

CVE-2019-8099

CVE-2019-8101

IP-osoitteen sisäinen paljastuminen Tietojen paljastuminen Tärkeä  CVE-2019-8097
Tyyppisekaannus Mielivaltaisen koodin suoritus   Tärkeä 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Ei-luotetun osoittimen viitteen poisto

 

 

Mielivaltaisen koodin suoritus 

 

 

Tärkeä 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Riittämätön suojaus Tietoturvaominaisuuden ohitus Kriittinen CVE-2019-8237
Tyyppisekaannus Tietojen paljastuminen Tärkeä

CVE-2019-8251

CVE-2019-8252

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Dhanesh Kizhakkinan FireEye Inc:stä (CVE-2019-8066) 
  • Xu Peng ja  Su Purui from TCA/SKLCS, Institute of Software Chinese Academy of Sciencesista, ja Legendsecin Codesafe Team Qi'anxin Groupista (CVE-2019-8029, CVE-2019-8030 ja CVE-2019-8031)
  • (A.K.) Karim Zidani, itsenäinen tietoturvatutkija, https://imAK.xyz/ (CVE-2019-8097) 
  • Nimetön yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8033 ja CVE-2019-8037)
  • BUGFENSE Anonymous Bug Bounties -ohjelma https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie, Baidu Security Lab, yhteistyössö Trend Micro Zero Day Initiative -ohjelman kanssa (CVE-2019-8035 ja CVE-2019-8257) 
  • Wei Lei STAR Labsista (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010 ja CVE-2019-8011) 
  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) ja Liao Bangjie (@b1acktrac3) Qihoo360 CoreSecuritystä (@360CoreSec) (CVE-2019-8012) 
  • Ke Liu Tencent Security Xuanwu Labista (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022 ja CVE-2019-8023) 
  • Haikuo Xie Baidu Security Labista (CVE-2019-8032 ja CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) yhteistyössä Trend Micron Zero Day Initiative -ohjelmn kanssa (CVE-2019-8014) 
  • Mat Powell Trend Micron Zero Day Initiative -ohjelmasta (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058 ja CVE-2019-8059) 
  • Mateusz Jurczyk Google Project Zerosta (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8013 ja CVE-2019-8034) 
  • Simon Zuckerbraun Trend Micron Zero Day Initiative -ohjelmasta (CVE-2019-8027) 
  • Steven Seeley (mr_me), Source Incite, yhteistyössä Trend Micro Zero Day Initiative -ohjelman kanssa (CVE-2019-8019) 
  • Steven Seeley (mr_me) Source Incitesta yhteistyössä iDefense Labsin kanssa (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965 ja CVE-2019-8105) 
  • willJ yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) Source Incitesta yhteistyössä iDefense Labsin kanssa (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu Palo Alto Networksista ja  Heige Knownsec 404 Security Teamistä (CVE-2019-8024, CVE-2019-8061 ja CVE-2019-8055) 
  • Zhaoyan Xu ja Hui Gao Palo Alto Networksista (CVE-2019-8026 ja CVE-2019-8028) 
  • Lexuan Sun ja Hao Cai Palo Alto Networksista (CVE-2019-8025) 
  • Bit STARLabsista yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8038 ja CVE-2019-8039)
  • Zhongcheng Li(CK01) Topsec Alpha Teamistä (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me), Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251 ja CVE-2019-8252)

Versiot

14. elokuuta 2019: lisätty kiitokset haavoittuvuuksista CVE-2019-8016 ja CVE-2019-8017.

22. elokuuta 2019: CVE:n tunniste päivitetty muodosta CVE-2019-7832 muotoon CVE-2019-8066.

26. syyskuuta 2019: lisätty kiitos haavoittuvuudesta CVE-2019-8060.

23. lokakuuta 2019: lisätty tiedot haavoittuvuudesta CVE-2019-8237.

19 marraskuuta 2019: lisätty tiedot haavoittuvuuksista CVE-2019-8249, CVE-2019-8250, CVE-2019-8251 ja CVE-2019-8252

10. joulukuuta 2019: lisätty tiedot haavoittuvuudesta CVE-2019-8257.