Sikkerhetsbulletin for Adobe Acrobat og Reader | APSB19-41
Bulletin-ID Dato publisert Prioritet
APSB19-41 13. august 2019 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene løser viktige sikkerhetsproblemer.  Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.    

Berørte versjoner

Disse oppdateringene løser viktige sikkerhetsproblemer i programvaren. Adobe vil tildele følgende prioritetsklassifiseringer til disse oppdateringene:

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 

2019.012.20034 og tidligere versjoner  macOS
Acrobat DC  Continuous  2019.012.20035 og tidligere versjoner Windows
Acrobat Reader DC Continuous

2019.012.20034 og tidligere versjoner  macOS
Acrobat Reader DC Continuous  2019.012.20035 og tidligere versjoner  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 og tidligere versjoner   macOS
Acrobat DC  Classic 2017 2017.011.30143 og tidligere versjoner Windows
Acrobat Reader DC Classic 2017 2017.011.30142 og tidligere versjoner macOS
Acrobat Reader DC Classic 2017 2017.011.30143 og tidligere versjoner Windows
       
Acrobat DC  Classic 2015 2015.006.30497 og tidligere versjoner  macOS
Acrobat DC  Classic 2015 2015.006.30498 og tidligere versjoner Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 og tidligere versjoner  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 og tidligere versjoner Windows

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2019.012.20036 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows og macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows og macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows og macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows og macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows og macOS 2

Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer

Lesing utenfor område   

 

 

Avsløring av informasjon   

 

 

Viktig   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Skriving utenfor område   

 

 

Vilkårlig kjøring av kode    

 

 

Viktig  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Kommandoinjeksjon  Vilkårlig kjøring av kode   Viktig  CVE-2019-8060

Use After Free   

 

 

Vilkårlig kjøring av kode     

 

 

Viktig 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Heap-overflyt 

 

 

Vilkårlig kjøring av kode     

 

 

Viktig 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Bufferfeil  Vilkårlig kjøring av kode       Viktig   CVE-2019-8048
Double Free  Vilkårlig kjøring av kode      Viktig    CVE-2019-8044 
Heltallsoverflyt Avsløring av informasjon Viktig 

CVE-2019-8099

CVE-2019-8101

Avsløring av intern IP-adresse Avsløring av informasjon Viktig  CVE-2019-8097
Type konflikt Vilkårlig kjøring av kode   Viktig 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Ikke-klarert pekerdereferanse

 

 

Vilkårlig kjøring av kode 

 

 

Viktig 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Lite robust kryptering Omgåelse av sikkerhetsfunksjon Kritisk CVE-2019-8237
Type konflikt Avsløring av informasjon Viktig

CVE-2019-8251

CVE-2019-8252

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:    

  • Dhanesh Kizhakkinan fra FireEye Inc.(CVE-2019-8066) 
  • Xu Peng og Su Purui fra TCA/SKLCS Institute of Software Chinese Academy of Sciences og Codesafe Team fra Legendsec hos Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, uavhengig sikkerhetsekspert, https://imAK.xyz/ (CVE-2019-8097)
  • Anonymous i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie fra Baidu Security Lab i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei fra STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi(@leeqwind), Wang Lei(@CubestoneW) og Liao Bangjie(@b1acktrac3) fra Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8012) 
  • Ke Liu fra Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie fra Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8014) 
  • Mat Powell fra Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk fra Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun fra Trend Micro Zero Day Initiative (CVE-2019-8027) 
  • Steven Seeley (mr_me) fra Source Incite i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8019) 
  • Steven Seeley (mr_me) fra Source Incite i samarbeid med iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) fra Source Incite i samarbeid med iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu fra Palo Alto Networks og Heige fra Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao fra Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai fra Palo Alto Networks (CVE-2019-8025) 
  • Bit fra STARLabs i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) fra Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) fra Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revisjoner

14. august 2019: Lagt til anerkjennelse for CVE-2019-8016 og CVE-2019-8017.

22. august 2019: Oppdaterte CVE-ID fra CVE-2019-7832 til CVE-2019-8066.

26. september 2019: Lagt til anerkjennelse for CVE-2019-8060.

23. oktober 2019: Inkludert detaljer om CVE-2019-8237.

19. november 2019: Inkludert detaljer om CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10. desember 2019: Inkludert detaljer om CVE-2019-8257.