Adobe – sikkerhetsbulletin
Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader | APSB19-07
Bulletin-ID Dato publisert Prioritet
APSB19-07 12. februar 2019 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene løser kritiske og viktige sikkerhetsproblemer. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.    

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 
2019.010.20069 og tidligere versjoner 
Windows og macOS
Acrobat Reader DC Continuous
2019.010.20069 og tidligere versjoner Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 og tidligere versjoner Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 og tidligere versjoner Windows og macOS
       
Acrobat DC  Classic 2015 2015.006.30464 og tidligere versjoner  Windows og macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 og tidligere versjoner  Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2019.010.20091 Windows og macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows og macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows og macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows og macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows og macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows og macOS 2 Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Bufferfeil Vilkårlig kjøring av kode  Kritisk 

CVE-2019-7020

CVE-2019-7085

Datalekkasje (sensitiv) Avsløring av informasjon Kritisk  CVE-2019-7089
Double Free Vilkårlig kjøring av kode  Kritisk  CVE-2019-7080
Heltallsoverflyt Avsløring av informasjon Kritisk  CVE-2019-7030
Lesing utenfor område Avsløring av informasjon Viktig

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

Sikkerhetsomgåelse Rettighetsutvidelse Kritisk 

CVE-2018-19725

CVE-2019-7041

Skriving utenfor område Vilkårlig kjøring av kode  Kritisk 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Type konflikt Vilkårlig kjøring av kode   Kritisk

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Ikke-klarert pekerdereferanse Vilkårlig kjøring av kode    Kritisk

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Use After Free  Vilkårlig kjøring av kode   Kritisk 

CVE-2019-7018

CVE-2019-7025

CVE-2019-7026

CVE-2019-7029

CVE-2019-7031

CVE-2019-7040

CVE-2019-7043

CVE-2019-7044

CVE-2019-7048

CVE-2019-7050

CVE-2019-7062

CVE-2019-7068

CVE-2019-7070

CVE-2019-7072

CVE-2019-7075

CVE-2019-7077

CVE-2019-7078

CVE-2019-7082

CVE-2019-7083

CVE-2019-7084

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Sebastian Apelt  via Trend Micros Zero Day Initiative (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri via Trend Micros Zero Day Initiative (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao fra Qihoo 360 Vulcan Team og  Zhenjie Jia fra Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean i samarbeid med iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic fra Cisco Talos. (CVE-2019-7039)

  • Anonymous i samarbeid med Trend Micros Zero Day Initiative (CVE-2019-7077)

  • Gal De Leon fra Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian i samarbeid med Trend Micros Zero Day Initiative (CVE-2019-7078)

  • kdot i samarbeid med Trend Micros Zero Day Initiative (CVE-2019-7049)

  • Ke Liu fra Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell fra Trend Micros Zero Day Initiative (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon og Netanel Ben-Simon fra Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley via Trend Micros Zero Day Initiative (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r i samarbeid med Trend Micros Zero Day Initiative (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) fra Source Incite i samarbeid med iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng og Su Purui fra TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia fra Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang fra Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. i samarbeid med Trend Micros Zero Day Initiative (CVE-2019-7079)

  • Bo Qu fra Palo Alto Networks og Heige fra Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang fra Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng fra Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao fra Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu fra Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He fra Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei fra STARLabs (CVE-2019-7035)

Revisjoner

1. April 2019: Referanse til CVE-2019-7035 tillagt bekreftelsesavsnittet