Adobe-Sicherheitsbulletin
Sicherheits-Updates für Adobe Acrobat und Reader verfügbar | APSB19-07
Bulletin-ID Veröffentlichungsdatum Priorität
APSB19-07 12. Februar 2019 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische und wichtige  Sicherheitslücken.  Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.    

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 
2019.010.20069 und frühere Versionen 
Windows und macOS
Acrobat Reader DC Continuous
2019.010.20069 und frühere Versionen Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 und frühere Version Windows und macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 und frühere Version Windows und macOS
       
Acrobat DC  Classic 2015 2015.006.30464 und frühere Versionen  Windows und macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 und frühere Versionen  Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.  

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf macOS, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein:

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2019.010.20091 Windows und macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows und macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows und macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows und macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows und macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows und macOS 2 Windows

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Pufferfehler Willkürliche Ausführung von Code  Kritisch 

CVE-2019-7020

CVE-2019-7085

Verlust vertraulicher Daten Offenlegung von Informationen Kritisch  CVE-2019-7089
Double Free Willkürliche Ausführung von Code  Kritisch  CVE-2019-7080
Ganzzahlüberlauf Offenlegung von Informationen Kritisch  CVE-2019-7030
Lesevorgang außerhalb des gültigen Bereichs Offenlegung von Informationen Wichtig

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Sicherheitsbypass Berechtigungsausweitung Kritisch 

CVE-2018-19725

CVE-2019-7041

Schreibvorgang außerhalb des gültigen Bereichs Willkürliche Ausführung von Code  Kritisch 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Typverwechslung Willkürliche Ausführung von Code   Kritisch

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Nicht vertrauenswürdige Zeiger-Dereferenzierung Willkürliche Ausführung von Code    Kritisch

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Use After Free  Willkürliche Ausführung von Code   Kritisch 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Sebastian Apelt  im Rahmen der Zero Day Initiative von Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri im Rahmen der Zero Day Initiative von Trend Micro  (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao vom Qihoo 360 Vulcan-Team und Zhenjie Jia vom Qihoo 360 Vulcan-Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean in Zusammenarbeit mit iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic von Cisco Talos. (CVE-2019-7039)

  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-7077)

  • Gal De Leon von Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-7078)

  • kdot in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-7049)

  • Ke Liu vom Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell von der Zero Day Initiative von Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon und Netanel Ben-Simon von Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley im Rahmen der Zero Day Initiative von Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) von Source Incite in Zusammenarbeit mit iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin-Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng und Su Purui vom TCA/SKLCS Institute of Software, Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia vom Qihoo360 Vulcan-Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang vom Chengdu Security Response Center der Qihoo 360 Technology Co. Ltd. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2019-7079)

  • Bo Qu von Palo Alto Networks und Heige vom Knownsec 404 Security-Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang von Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng von Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao von Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu von Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He von Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei von STARLabs (CVE-2019-7035)

Überarbeitungen

1. April 2019: Verweis auf CVE-2019-7035 wurde zum Abschnitt "Danksagungen"hinzugefügt.