Adobe Acrobat 和 Reader 的安全性公告 | APSB19-41
安全性公告 ID 發佈日期 優先順序
APSB19-41 2019年8月13日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

這些更新可解決軟體中的重要弱點。Adobe 將為這些更新指派下列優先順序分級

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2019.012.20034 及舊版  macOS
Acrobat DC  Continuous  2019.012.20035 及舊版 Windows
Acrobat Reader DC Continuous

2019.012.20034 及舊版  macOS
Acrobat Reader DC Continuous  2019.012.20035 及舊版  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 及舊版   macOS
Acrobat DC  Classic 2017 2017.011.30143 及舊版 Windows
Acrobat Reader DC Classic 2017 2017.011.30142 及舊版 macOS
Acrobat Reader DC Classic 2017 2017.011.30143 及舊版 Windows
       
Acrobat DC  Classic 2015 2015.006.30497 及舊版  macOS
Acrobat DC  Classic 2015 2015.006.30498 及舊版 Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 及舊版  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 及舊版 Windows

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2019.012.20036 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows 和 macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows 和 macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號

超出範圍讀取   

 

 

資訊揭露

 

 

重要

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

超出範圍寫入   

 

 

任意執行程式碼

 

 

重要

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

命令注入  任意執行程式碼 重要 CVE-2019-8060

使用釋放後記憶體 (Use After Free)

 

 

任意執行程式碼

 

 

重要

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

堆積溢位 

 

 

任意執行程式碼

 

 

重要

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

緩衝區錯誤  任意執行程式碼  重要 CVE-2019-8048
雙重釋放  任意執行程式碼 重要 CVE-2019-8044
整數溢位 資訊揭露 重要

CVE-2019-8099

CVE-2019-8101

內部 IP 揭露 資訊揭露 重要 CVE-2019-8097
類型混淆 任意執行程式碼 重要

CVE-2019-8019

CVE-2019-8249

CVE-2019-8250

不信任的指標取值

 

 

任意執行程式碼

 

 

重要

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

加密強度不足 安全功能無故略過 重大 CVE-2019-8237
類型混淆 資訊揭露 重要

CVE-2019-8251

CVE-2019-8252

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • FireEye Inc. 的 Dhanesh Kizhakkinan (CVE-2019-8066) 
  • 中國科學院軟體研究所 TCA/SKLCS 的 Xu Peng 和 Su Purui,以及奇安信集團旗下網神代碼衛士團隊 (CVE-2019-8029、CVE-2019-8030、CVE-2019-8031)
  • 獨立安全研究人員 (A.K.) Karim Zidani;https://imAK.xyz/ (CVE-2019-8097)
  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2019-8033、CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • 來自百度安全實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Haikuo Xie (CVE-2019-8035、CVE-2019-8257)
  • STAR Labs 的 Wei Lei (CVE-2019-8009、CVE-2019-8018、CVE-2019-8010、CVE-2019-8011) 
  • Qihoo360 CoreSecurity(@360CoreSec) 的 Li Qi(@leeqwind) & Wang Lei(@CubestoneW) & Liao Bangjie(@b1acktrac3) (CVE-2019-8012) 
  • 騰訊安全玄武實驗室的 Ke Liu (CVE-2019-8094、CVE-2019-8095、CVE-2019-8096、CVE-2019-8004、CVE-2019-8005、CVE-2019-8006、CVE-2019-8077、CVE-2019-8003、CVE-2019-8020、CVE-2019-8021、CVE-2019-8022、CVE-2019-8023) 
  • 百度安全實驗室的 Haikuo Xie (CVE-2019-8032、CVE-2019-8036) 
  • 與趨勢科技零時差漏洞懸賞計畫合作的 ktkitty (https://ktkitty.github.io) (CVE-2019-8014) 
  • 趨勢科技零時差漏洞懸賞計畫的 Mat Powell (CVE-2019-8008、CVE-2019-8051、CVE-2019-8053、CVE-2019-8054、CVE-2019-8056、CVE-2019-8057、CVE-2019-8058、CVE-2019-8059) 
  • Google Project Zero 的 Mateusz Jurczyk (CVE-2019-8041、CVE-2019-8042、CVE-2019-8043、CVE-2019-8044、CVE-2019-8045、CVE-2019-8046、CVE-2019-8047、CVE-2019-8048、CVE-2019-8049、CVE-2019-8050、CVE-2019-8016、CVE-2019-8017) 
  • Michael Bourque (CVE-2019-8007) 
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Peternguyen (CVE-2019-8013、CVE-2019-8034) 
  • 趨勢科技零時差漏洞懸賞計畫的 Simon Zuckerbraun (CVE-2019-8027) 
  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (mr_me) (CVE-2019-8019)
  • 與 iDefense Labs (https://vcp.idefense.com/) 合作的 Source Incite 站長 Steven Seeley (mr_me) (CVE-2019-8098、CVE-2019-8099、CVE-2019-8100、CVE-2019-8101、CVE-2019-8102、CVE-2019-8103、CVE-2019-8104、CVE-2019-8106、CVE-2019-7965、CVE-2019-8105) 
  • 與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2019-8040、CVE-2019-8052) 
  • 來自 Source Incite 並與 iDefense Labs (https://vcp.idefense.com/) 合作的 Esteban Ruiz (mr_me) (CVE-2019-8002) 
  • Palo Alto Networks 的 Bo Qu 以及知道創宇 404 安全團隊的 Heige (CVE-2019-8024、CVE-2019-8061、CVE-2019-8055) 
  • Palo Alto Networks 的 Zhaoyan Xu、Hui Gao (CVE-2019-8026、CVE-2019-8028) 
  • Palo Alto Networks 的 Lexuan Sun、Hao Cai (CVE-2019-8025) 
  • 與趨勢科技零時差漏洞懸賞計畫合作的部分 STARLabs (CVE-2019-8038、CVE-2019-8039)
  • 天融信阿爾法團隊的 Zhongcheng Li (CK01) (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Source Incite 的 Steven Seeley (mr_me) (CVE-2019-8249、CVE-2019-8250、CVE-2019-8251、CVE-2019-8252)

修訂

2019 年 8 月 14 日:新增 CVE-2019-8016 和 CVE-2019-8017 的鳴謝對象。

2019 年 8 月 22 日 - 將 CVE ID 從 CVE-2019-7832 更新至 CVE-2019-8066。

2019 年 9 月 26 日:新增 CVE-2019-8060 的鳴謝對象。

2019 年 10 月 23 日:加入 CVE-2019-8237 的詳細資訊。

2019 年 11 月 19 日:加入 CVE-2019-8249、CVE-2019-8250、CVE-2019-8251、CVE-2019-8252 的詳細資訊

2019 年 12 月 10 日:加入 CVE-2019-8257 的詳細資訊。