Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB19-49
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-49 15. lokakuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja  tärkeitä haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.    

Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2019.012.20040 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous  2019.012.20040 ja aiemmat versiot  Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 ja aiemmat versiot   Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 ja aiemmat versiot Windows ja macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 ja aiemmat versiot  Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.021.20047 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows ja macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen   Tietojen paljastuminen   Tärkeä   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Rajat ylittävä kirjoittaminen  Mielivaltaisen koodin suoritus    Kriittinen

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Vapautuksen jälkeinen käyttö    Mielivaltaisen koodin suoritus      Kriittinen

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Pinon ylivuoto  Mielivaltaisen koodin suoritus      Kriittinen

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Puskurin ylivuoto Mielivaltaisen koodin suoritus      Kriittinen CVE-2019-8166
Sivustojen välinen skriptaus  Tietojen paljastuminen Tärkeä    CVE-2019-8160
Kilpatilanne Mielivaltaisen koodin suoritus   Kriittinen CVE-2019-8162
Tietoturvamekanismin epätäydellinen toteutus Tietojen paljastuminen Tärkeä  CVE-2019-8226
Tyyppisekaannus Mielivaltaisen koodin suoritus   Kriittinen

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Ei-luotetun osoittimen viitteen poisto Mielivaltaisen koodin suoritus  Kriittinen

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Puskurivirheet Mielivaltaisen koodin suoritus  Kriittinen CVE-2019-16470

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Nimetön yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219 ja CVE-2019-8225)
  • Haikuo Xie, Baidu Security Lab, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8209 ja CVE-2019-8223) 
  • hungtt28, Viettel Cyber Security, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2019-8172) 
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2019-8064) 
  • Mat Powell, Trend Micro Zero Day -ohjelma (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165 ja CVE-2019-8191)
  • Mateusz Jurczyk, Google Project Zero -ohjelma (CVE-2019-8195, CVE-2019-8196 ja CVE-2019-8197)
  • peternguyen yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8176 ja CVE-2019-8224) 
  • Steven Seeley (mr_me), Source Incite, yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173 ja CVE-2019-8174)
  • Heige, Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin ja Lee JinYoung, Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94, Arizona State Universityn SEFCOM Lab, (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214 ja CVE-2019-8215) 
  • Esteban Ruiz (mr_me), Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169 ja CVE-2019-8182)
  • Ta Dinh Sung, STAR Labs (CVE-2019-8220 ja CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Flexeran Secunia Research -yksikkö (CVE-2019-8222)
  • Aleksandar Nikolic, Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89), Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang ja  willJ, Qihoo 360 Technology Co. Ltd:n Chengdu Security Response Center (CVE-2019-8185 ja CVE-2019-8186) 
  • Yangkang(@dnpushme), Li Qi(@leeqwind) ja Yang Jianxiong(@sinkland_), Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung, Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu, Palo Alto Networks, ja Heige, Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang, Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-8192 ja CVE-2019-8177) 
  • Haikuo Xie, Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng, Qihoo 360 Core security, ja Jiadong Lu, South China University of Technology (CVE-2019-8162)
  • Zhangqing ja Zhiyuan Wang, cdsrc, Qihoo 360 (CVE-2019-16470)

Versiot

11. marraskuuta 2019: lisätty kiitokset haavoittuvuuksista CVE-2019-8195 ja CVE-2019-8196.

13. helmikuuta 2020: lisätty kiitokset haavoittuvuuksista CVE-2019-16471 ja CVE-2019-16470.