Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB19-55
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB19-55 10. joulukuuta 2019 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja  tärkeitä haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.    

Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2019.021.20056 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous   2019.021.20056 ja aiemmat versiot  Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 ja aiemmat versiot Windows 
Acrobat 2017 Classic 2017 2017.011.30155 ja aiemmat versiot macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 ja aiemmat versiot Windows ja macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2019.021.20058 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows ja macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen   Tietojen paljastuminen   Tärkeä   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Rajat ylittävä kirjoittaminen  Mielivaltaisen koodin suoritus    Kriittinen

CVE-2019-16450

CVE-2019-16454

Vapautuksen jälkeinen käyttö    Mielivaltaisen koodin suoritus      Kriittinen

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Pinon ylivuoto  Mielivaltaisen koodin suoritus      Kriittinen CVE-2019-16451
Puskurivirhe Mielivaltaisen koodin suoritus      Kriittinen CVE-2019-16462
Ei-luotetun osoittimen viitteen poisto Mielivaltaisen koodin suoritus  Kriittinen

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Binaaritiedoston tallennus (oletuskansion käyttöoikeuksien laajennus) Käyttöoikeuksien laajennus Tärkeä  CVE-2019-16444
Suojauksen ohitus Mielivaltaisen koodin suoritus Kriittinen CVE-2019-16453

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Mateusz Jurczyk, Google Project Zero -ohjelma, ja nimetön tutkija yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444)

  • Ke Liu, Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94), SEFCOM Lab, Arizona State University (CVE-2019-16446 ja CVE-2019-16448) 

  • Aleksandar Nikolic, Cisco Talos (CVE-2019-16463)

  • HTBLA Leondingin tekninen tukitiimi (CVE-2019-16453)

  • Haikuo Xie, Baidu Security Lab (CVE-2019-16461)

  • Bit, STAR Labs (CVE-2019-16452)

  • Xinyu Wan ja Yiwei Zhang, Renmin University of China (CVE-2019-16455, CVE-2019-16460 ja CVE-2019-16462)

  • Bo Qu, Palo Alto Networks, ja Heige, Knownsec 404 Security Team (CVE-2019-16456) 

  • Zhibin Zhang, Palo Alto Networks (CVE-2019-16457)

  • Qi Deng ja Ken Hsu, Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun ja Hao Cai, Palo Alto Networks (CVE-2019-16459)

  • Yue Guan ja Haozhe Zhang, Palo Alto Networks (CVE-2019-16464)

  • Hui Gao, Palo Alto networks (CVE-2019-16465)

  • Zhibin Zhang ja Yue Guan, Palo Alto Networks (CVE-2019-16465)