Bollettino sulla sicurezza per Adobe Acrobat e Reader | APSB19-41
ID bollettino Data di pubblicazione Priorità
APSB19-41 13 agosto 2019 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità importanti.   Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.    

Versioni interessate

Questi aggiornamenti risolvono vulnerabilità importanti nel software. Adobe assegnerà le seguenti classificazioni in termini di priorità a questi aggiornamenti:

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2019.012.20034 e versioni precedenti  macOS
Acrobat DC  Continuous  2019.012.20035 e versioni precedenti Windows
Acrobat Reader DC Continuous

2019.012.20034 e versioni precedenti  macOS
Acrobat Reader DC Continuous  2019.012.20035 e versioni precedenti  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 e versioni precedenti   macOS
Acrobat DC  Classic 2017 2017.011.30143 e versioni precedenti Windows
Acrobat Reader DC Classic 2017 2017.011.30142 e versioni precedenti macOS
Acrobat Reader DC Classic 2017 2017.011.30143 e versioni precedenti Windows
       
Acrobat DC  Classic 2015 2015.006.30497 e versioni precedenti  macOS
Acrobat DC  Classic 2015 2015.006.30498 e versioni precedenti Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 e versioni precedenti  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 e versioni precedenti Windows

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2019.012.20036 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows e macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows e macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows e macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows e macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE

Lettura fuori limite   

 

 

Divulgazione di informazioni   

 

 

Importante   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Scrittura fuori limite   

 

 

Esecuzione di codice arbitrario    

 

 

Importante  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Iniezione comando  Esecuzione di codice arbitrario   Importante  CVE-2019-8060

Use-after-free

 

 

Esecuzione di codice arbitrario     

 

 

Importante 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Sovraccarico dell'heap 

 

 

Esecuzione di codice arbitrario     

 

 

Importante 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Errore buffer  Esecuzione di codice arbitrario       Importante   CVE-2019-8048
Vulnerabilità double-free  Esecuzione di codice arbitrario      Importante    CVE-2019-8044 
Overflow di intero Divulgazione di informazioni Importante 

CVE-2019-8099

CVE-2019-8101

Divulgazione IP interna Divulgazione di informazioni Importante  CVE-2019-8097
Confusione del tipo di oggetto Esecuzione di codice arbitrario   Importante 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Dereferenziazione puntatore non affidabile

 

 

Esecuzione di codice arbitrario 

 

 

Importante 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Crittografia non sufficientemente affidabile Aggiramento della funzione di sicurezza Critica CVE-2019-8237
Confusione del tipo di oggetto Divulgazione di informazioni Importante

CVE-2019-8251

CVE-2019-8252

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Dhanesh Kizhakkinan di FireEye Inc.(CVE-2019-8066) 
  • Xu Peng e Su Purui del TCA/SKLCS Institute of Software Chinese Academy of Sciences e Codesafe Team of Legendsec del Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, ricercatore indipendente sulla sicurezza; https://imAK.xyz/ (CVE-2019-8097)
  • Anonimo in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-8033, CVE-2019-8037)
  • Taglie bug per ricercatori anonimi, programma BUGFENSE https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie del Baidu Security Lab in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei degli STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi(@leeqwind), Wang Lei(@CubestoneW) e Liao Bangjie(@b1acktrac3) di Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8012) 
  • Ke Liu del Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie del Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8014) 
  • Mat Powell di Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk di Google Project Zero (CVE -2019-8041, CVE -2019-8042, CVE -2019-8043, CVE -2019-8044, CVE -2019-8045, CVE -2019-8046, CVE -2019-8047, CVE -2019-8048, CVE -2019-8049, CVE -2019-8050, CVE -2019-8016, CVE -2019-8017)
  • Michael Bourque (CVE-2019-8007)
  • Peternguyen in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun di Trend Micro Zero Day Initiative (CVE-2019-8027) 
  • Steven Seeley (mr_me) di Source Incite in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8019) 
  • Steven Seeley (mr_me) di Source Incite in collaborazione con iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ in collaborazione con la Trend Micro Zero Day Initiative (CVE-2019-8040, CVE-2019-8052)
  • Esteban Ruiz (mr_me) di Source Incite, in collaborazione con iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8002)
  • Bo Qu di Palo Alto Networks e Heige of Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao di Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai di Palo Alto Networks (CVE-2019-8025) 
  • Bit di STARLabs in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) del Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) di Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revisioni

14 agosto 2019: è stato aggiunto un ringraziamento per CVE-2019-8016 e CVE-2019-8017.

22 agosto 2019: ID CVE aggiornato da CVE-2019-7832 a CVE-2019-8066.

26 settembre 2019: È stato aggiunto un ringraziamento per CVE-2019-8060.

23 ottobre 2019: Sono inclusi i dettagli su CVE-2019-8237.

19 novembre 2019: Dettagli inclusi su CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 dicembre 2019: Sono inclusi i dettagli su CVE-2019-8257.