Aggiornamenti di sicurezza disponibili per Adobe Reader e Acrobat | APSB19-49
ID bollettino Data di pubblicazione Priorità
APSB19-49 15 ottobre 2019 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e macOS. Questi aggiornamenti risolvono vulnerabilità critiche e  importanti.  Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.    

Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2019.012.20040 e versioni precedenti Windows e macOS
Acrobat Reader DC Continuous  2019.012.20040 e versioni precedenti  Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 e versioni precedenti   Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 e versioni precedenti Windows e macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 e versioni precedenti  Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 e versioni precedenti Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2019.021.20047 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Lettura fuori limite   Divulgazione di informazioni   Importante   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Scrittura fuori limite  Esecuzione di codice arbitrario    Critica

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Use-after-free Esecuzione di codice arbitrario      Critica

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Sovraccarico dell'heap  Esecuzione di codice arbitrario      Critica

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Sovraccarico del buffer Esecuzione di codice arbitrario      Critica CVE-2019-8166
Cross-site scripting  Divulgazione di informazioni Importante    CVE-2019-8160
Corsa critica Esecuzione di codice arbitrario   Critica CVE-2019-8162
Implementazione incompleta del meccanismo di sicurezza Divulgazione di informazioni Importante  CVE-2019-8226
Confusione del tipo di oggetto Esecuzione di codice arbitrario   Critica

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Dereferenziazione puntatore non affidabile Esecuzione di codice arbitrario  Critica

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Errori del buffer Esecuzione di codice arbitrario  Critica CVE-2019-16470

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Utente anonimo in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie del Baidu Security Lab in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 di Viettel Cyber Security in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8172) 
  • Ke Liu di Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8064) 
  • Mat Powell di Trend Micro Zero Day Initiative (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk di Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) di Source Incite in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige del Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160)
  • Xizsmin e Lee JinYoung del Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 del SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) di Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung di STAR Labs (CVE-2019-8220, CVE-2019-8221)
  • Behzad Najjarpour Jabbari, Secunia Research at Flexera (CVE-2019-8222)
  • Aleksandar Nikolic di Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) di Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang e willJ di Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpush me) e Li Qi(@leeqwind) e Yang Jianxiong(@sinkland_) di Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung del Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216)
  • Bo Qu di Palo Alto Networks e Heige del Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang di Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie del Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng di Qihoo 360 Core Security & Jiadong Lu della South China University of Technology (CVE-2019-8162)
  • Zhangqing e Zhiyuan Wang da cdsrc di Qihoo 360 (CVE-2019-16470)

Revisioni

11 novembre 2019: è stato aggiunto un ringraziamento per le vulnerabilità CVE-2019-8195 e CVE-2019-8196.

13 febbraio 2020: è stato aggiunto un ringraziamento per CVE-2019-16471 e CVE-2019-16470.