Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Reader e Acrobat | APSB19-49

ID bollettino	Data di pubblicazione	Priorità
APSB19-49	15 ottobre 2019	2

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e macOS. Questi aggiornamenti risolvono vulnerabilità critiche e  importanti.  Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.    

Prodotto	Track	Versioni interessate	Piattaforma
Acrobat DC	Continuous	2019.012.20040 e versioni precedenti	Windows e macOS
Acrobat Reader DC	Continuous	2019.012.20040 e versioni precedenti	Windows e macOS

Acrobat 2017	Classic 2017	2017.011.30148 e versioni precedenti	Windows e macOS
Acrobat Reader 2017	Classic 2017	2017.011.30148 e versioni precedenti	Windows e macOS

Acrobat 2015	Classic 2015	2015.006.30503 e versioni precedenti	Windows e macOS
Acrobat Reader 2015	Classic 2015	2015.006.30503 e versioni precedenti	Windows e macOS

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     
I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.     
È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.

Per gli amministratori IT (ambienti gestiti):     

Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.
Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto	Track	Versioni aggiornate	Piattaforma	Livello di priorità	Disponibilità
Acrobat DC	Continuous	2019.021.20047	Windows e macOS	2	Windows     macOS
Acrobat Reader DC	Continuous	2019.021.20047	Windows e macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30150	Windows e macOS	2	Windows macOS
Acrobat Reader 2017	Classic 2017	2017.011.30150	Windows e macOS	2	Windows macOS

Acrobat 2015	Classic 2015	2015.006.30504	Windows e macOS	2	Windows macOS
Acrobat Reader 2015	Classic 2015	2015.006.30504	Windows e macOS	2	Windows macOS

Categoria della vulnerabilità	Impatto della vulnerabilità	Gravità	Codice CVE
Lettura fuori limite	Divulgazione di informazioni	Importante	CVE-2019-8164 CVE-2019-8168 CVE-2019-8172 CVE-2019-8173 CVE-2019-8064 CVE-2019-8182 CVE-2019-8184 CVE-2019-8185 CVE-2019-8189 CVE-2019-8163 CVE-2019-8190 CVE-2019-8193 CVE-2019-8194 CVE-2019-8198 CVE-2019-8201 CVE-2019-8202 CVE-2019-8204 CVE-2019-8207 CVE-2019-8216 CVE-2019-8218 CVE-2019-8222
Scrittura fuori limite	Esecuzione di codice arbitrario	Critica	CVE-2019-8171 CVE-2019-8186 CVE-2019-8165 CVE-2019-8191 CVE-2019-8199 CVE-2019-8206
Use-after-free	Esecuzione di codice arbitrario	Critica	CVE-2019-8175 CVE-2019-8176 CVE-2019-8177 CVE-2019-8178 CVE-2019-8179 CVE-2019-8180 CVE-2019-8181 CVE-2019-8187 CVE-2019-8188 CVE-2019-8192 CVE-2019-8203 CVE-2019-8208 CVE-2019-8209 CVE-2019-8210 CVE-2019-8211 CVE-2019-8212 CVE-2019-8213 CVE-2019-8214 CVE-2019-8215 CVE-2019-8217 CVE-2019-8219 CVE-2019-8220 CVE-2019-8221 CVE-2019-8223 CVE-2019-8224 CVE-2019-8225 CVE-2019-16471
Sovraccarico dell'heap	Esecuzione di codice arbitrario	Critica	CVE-2019-8170 CVE-2019-8183 CVE-2019-8197
Sovraccarico del buffer	Esecuzione di codice arbitrario	Critica	CVE-2019-8166
Cross-site scripting	Divulgazione di informazioni	Importante	CVE-2019-8160
Corsa critica	Esecuzione di codice arbitrario	Critica	CVE-2019-8162
Implementazione incompleta del meccanismo di sicurezza	Divulgazione di informazioni	Importante	CVE-2019-8226
Confusione del tipo di oggetto	Esecuzione di codice arbitrario	Critica	CVE-2019-8161 CVE-2019-8167 CVE-2019-8169 CVE-2019-8200
Dereferenziazione puntatore non affidabile	Esecuzione di codice arbitrario	Critica	CVE-2019-8174 CVE-2019-8195 CVE-2019-8196 CVE-2019-8205
Errori del buffer	Esecuzione di codice arbitrario	Critica	CVE-2019-16470

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

Utente anonimo in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
Haikuo Xie del Baidu Security Lab in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8209, CVE-2019-8223)
hungtt28 di Viettel Cyber Security in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8204)
Juan Pablo Lopez Yacubian in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8172)
Ke Liu di Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
L4Nce in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8064)
Mat Powell di Trend Micro Zero Day Initiative (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
Mateusz Jurczyk di Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
peternguyen in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8176, CVE-2019-8224)
Steven Seeley (mr_me) di Source Incite in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
Heige del Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160)
Xizsmin e Lee JinYoung del Codemize Security Research Lab (CVE-2019-8218)
Mipu94 del SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
Esteban Ruiz (mr_me) di Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
Ta Dinh Sung di STAR Labs (CVE-2019-8220, CVE-2019-8221)
Behzad Najjarpour Jabbari, Secunia Research at Flexera (CVE-2019-8222)
Aleksandar Nikolic di Cisco Talos. (CVE-2019-8183)
Nguyen Hong Quang (https://twitter.com/quangnh89) di Viettel Cyber Security (CVE-2019-8193)
Zhiyuan Wang e willJ di Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186)
Yangkang(@dnpush me) e Li Qi(@leeqwind) e Yang Jianxiong(@sinkland_) di Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
Lee JinYoung del Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216)
Bo Qu di Palo Alto Networks e Heige del Knownsec 404 Security Team (CVE-2019-8205)
Zhibin Zhang di Palo Alto Networks (CVE-2019-8206)
Andrew Hart (CVE-2019-8226)
peternguyen (meepwn ctf) in collaborazione con Trend Micro Zero Day Initiative (CVE-2019-8192, CVE-2019-8177)
Haikuo Xie del Baidu Security Lab (CVE-2019-8184)
Zhiniang Peng di Qihoo 360 Core Security & Jiadong Lu della South China University of Technology (CVE-2019-8162)
Zhangqing e Zhiyuan Wang da cdsrc di Qihoo 360 (CVE-2019-16470)

11 novembre 2019: è stato aggiunto un ringraziamento per le vulnerabilità CVE-2019-8195 e CVE-2019-8196.

13 febbraio 2020: è stato aggiunto un ringraziamento per CVE-2019-16471 e CVE-2019-16470.

Bollettino sulla sicurezza di Adobe

Riepilogo

Versioni interessate

Soluzione

Dettagli della vulnerabilità

Ringraziamenti

Revisioni

Chiedi alla community

Contattaci