Adobe – sikkerhetsbulletin
Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB19-55
Bulletin-ID Dato publisert Prioritet
APSB19-55 10. desember 2019 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene løser kritiske og viktige sikkerhetsproblemer. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.    

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 

2019.021.20056 og tidligere versjoner Windows og macOS
Acrobat Reader DC Continuous   2019.021.20056 og tidligere versjoner  Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 og tidligere versjoner Windows 
Acrobat 2017 Classic 2017 2017.011.30155 og tidligere versjoner macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 og tidligere versjoner Windows og macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 og tidligere versjoner Windows og macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 og tidligere versjoner Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2019.021.20058 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows og macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows og macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows og macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows og macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows og macOS 2

Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Lesing utenfor område   Avsløring av informasjon   Viktig   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Skriving utenfor område  Vilkårlig kjøring av kode    Kritisk

CVE-2019-16450

CVE-2019-16454

Use After Free    Vilkårlig kjøring av kode      Kritisk

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Heap-overflyt  Vilkårlig kjøring av kode      Kritisk CVE-2019-16451
Bufferfeil Vilkårlig kjøring av kode      Kritisk CVE-2019-16462
Ikke-klarert pekerdereferanse Vilkårlig kjøring av kode  Kritisk

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Binærplanting (rettighetsutvidelse for standardmappe)  Rettighetsutvidelse Viktig  CVE-2019-16444
Sikkerhetsomgåelse Vilkårlig kjøring av kode Kritisk CVE-2019-16453

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:    

  • Mateusz Jurczyk hos Google Project Zero & Anonymous i samarbeid med Trend Micro Zero Day Initiative (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444) 

  • Ke Liu fra Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94) fra SEFCOM Lab, Arizona State University (CVE-2019-16446, CVE-2019-16448) 

  • Aleksandar Nikolic fra Cisco Talos (CVE-2019-16463)

  • Teknisk støtteteam fra HTBLA Leonding (CVE-2019-16453) 

  • Haikuo Xie fra Baidu Security Lab (CVE-2019-16461)

  • Bit fra STAR Labs (CVE-2019-16452) 

  • Xinyu Wan og Yiwei Zhang fra Renmin University of China (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Bo Qu fra Palo Alto Networks og Heige fra Knownsec 404 Security Team (CVE-2019-16456) 

  • Zhibin Zhang fra Palo Alto Networks (CVE-2019-16457)

  • Qi Deng, Ken Hsu fra Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun, Hao Cai fra Palo Alto Networks (CVE-2019-16459)

  • Yue Guan, Haozhe Zhang fra Palo Alto Networks (CVE-2019-16464) 

  • Hui Gao fra Palo Alto networks (CVE-2019-16465)

  • Zhibin Zhang, Yue Guan fra Palo Alto Networks (CVE-2019-16465)