Adobe Acrobat 和 Reader 推出安全性更新 | APSB19-49
安全性公告 ID 發佈日期 優先順序
APSB19-49 星期二 2019年十月15日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新可解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2019.012.20040 及舊版  Windows 和 macOS
Acrobat Reader DC Continuous  2019.012.20040 及舊版  Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 及舊版   Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 及舊版 Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 及舊版  Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 及舊版 Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2019.021.20047 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍讀取   資訊揭露 重要 

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

超出範圍寫入  任意執行程式碼 重大

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

使用釋放後記憶體 (Use After Free) 任意執行程式碼 重大

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

堆積溢位  任意執行程式碼 重大

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

緩衝區溢位 任意執行程式碼 重大 CVE-2019-8166
跨網站指令碼  資訊揭露 重要 CVE-2019-8160
競爭情況 任意執行程式碼 重大 CVE-2019-8162
安全機制實施不完整 資訊揭露 重要 CVE-2019-8226
類型混淆 任意執行程式碼 重大

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

不信任的指標取值 任意執行程式碼 重大

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

緩衝區錯誤 任意執行程式碼 重大 CVE-2019-16470

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2019-8203、CVE-2019-8208、CVE-2019-8210、CVE-2019-8217、CVE-2019-8219、CVE-2019-8225)
  • 來自百度安全實驗室並與趨勢科技零時差漏洞懸賞計畫合作的 Haikuo Xie (CVE-2019-8209、CVE-2019-8223)
  • 來自 Viettel Cyber Security 並與趨勢科技零時差漏洞懸賞計畫合作的 hungtt28 (CVE-2019-8204)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Juan Pablo Lopez Yacubian (CVE-2019-8172) 
  • 騰訊安全玄武實驗室的 Ke Liu (CVE-2019-8199、CVE-2019-8200、CVE-2019-8201、CVE-2019-8202、CVE-2019-16471)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 L4Nce (CVE-2019-8064)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Mat Powell (CVE-2019-8166、CVE-2019-8175、CVE-2019-8178、CVE-2019-8179、CVE-2019-8180、CVE-2019-8181、CVE-2019-8187、CVE-2019-8188、CVE-2019-8189、CVE-2019-8163、CVE-2019-8190、CVE-2019-8165、CVE-2019-8191)
  • Google Project Zero 的 Mateusz Jurczyk (CVE-2019-8195、CVE-2019-8196、CVE-2019-8197)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Peternguyen (CVE-2019-8176、CVE-2019-8224)
  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (mr_me) (CVE-2019-8170、CVE-2019-8171、CVE-2019-8173、CVE-2019-8174)
  • 知道創宇 404 安全團隊 (http://www.knownsec.com/) 的 Heige (CVE-2019-8160)
  • Codemize Security Research Lab 的 Xizsmin 和 Lee JinYoung (CVE-2019-8218)
  • 亞利桑那州立大學 SEFCOM 實驗室的 Mipu94 (CVE-2019-8211、CVE-2019-8212、CVE-2019-8213、CVE-2019-8214、CVE-2019-8215)
  • Source Incite 的 Esteban Ruiz (mr_me) (CVE-2019-8161、CVE-2019-8164、CVE-2019-8167、CVE-2019-8168、CVE-2019-8169、CVE-2019-8182)
  • STAR Labs 的 Ta Dinh Sung (CVE-2019-8220、CVE-2019-8221)
  • Flexera 旗下 Secunia Research 的 Behzad Najjarpour Jabbari (CVE-2019-8222)
  • Cisco Talos 的 Aleksandar Nikolic(CVE-2019-8183) 
  • Viettel Cyber Security 的 Nguyen Hong Quang (https://twitter.com/quangnh89) (CVE-2019-8193)
  • 奇虎 360 科技有限公司成都安全應變中心的 Zhiyuan Wang 和 willJ (CVE-2019-8185、CVE-2019-8186)
  • 奇虎 360 核心安全 (@360CoreSec) 的 Yangkang (@dnpushme)、Li Qi (@leeqwind) 和 Yang Jianxiong (@sinkland_) (CVE-2019-8194)
  • Codemize Security Research Lab (http://codemize.co.kr) 的 Lee JinYoung (CVE-2019-8216)
  • Palo Alto Networks 的 Bo Qu 和知道創宇 404 安全團隊的 Heige (CVE-2019-8205)
  • Palo Alto Networks 的 Zhibin Zhang (CVE-2019-8206)
  • Andrew Hart (CVE-2019-8226)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Peternguyen (meepwn ctf) (CVE-2019-8192、CVE-2019-8177)
  • 百度安全實驗室的 Haikuo Xie (CVE-2019-8184)
  • 奇虎 360 核心安全的 Zhiniang Peng 和華南理工大學的 Jiadong Lu (CVE-2019-8162)
  • 奇虎 360 的 Zhangqing 和 Zhiyuan Wang (CVE-2019-16470)

修訂

2019 年 11 月 11 日:新增 CVE-2019-8195 和 CVE-2019-8196 的鳴謝對象。

2020 年 2 月 13 日:新增 CVE-2019-16471 和 CVE-2019-16470 的鳴謝對象。