Biuletyn dotyczący zabezpieczeń firmy Adobe
Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB19-07
ID biuletynu Data publikacji Priorytet
APSB19-07 12 lutego 2019 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach.  Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.    

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 
2019.010.20069 i starsze wersje 
Windows i macOS
Acrobat Reader DC Continuous
2019.010.20069 i starsze wersje Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 i starsze wersje Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 i starsze wersje Windows i macOS
       
Acrobat DC  Classic 2015 2015.006.30464 i starsze wersje  Windows i macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 i starsze wersje  Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.  

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2019.010.20091 Windows i macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows i macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows i macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows i macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows i macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows i macOS 2 Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Błędy bufora Wykonanie dowolnego kodu  Krytyczna 

CVE-2019-7020

CVE-2019-7085

Wyciek danych (poufnych) Ujawnienie informacji Krytyczna  CVE-2019-7089
Dwukrotne zwolnienie pamięci Wykonanie dowolnego kodu  Krytyczna  CVE-2019-7080
Przekroczenie zakresu liczb całkowitych Ujawnienie informacji Krytyczna  CVE-2019-7030
Odczyt poza zakresem Ujawnienie informacji Istotna

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Ominięcie zabezpieczeń Podniesienie uprawnień Krytyczna 

CVE-2018-19725

CVE-2019-7041

Zapis poza zakresem Wykonanie dowolnego kodu  Krytyczna 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Błędne rozpoznanie typu Wykonanie dowolnego kodu   Krytyczna

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Wyłuskanie niezaufanego wskaźnika Wykonanie dowolnego kodu    Krytyczna

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Użycie pamięci po zwolnieniu (Use After Free) Wykonanie dowolnego kodu   Krytyczna 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Sebastian Apelt  współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao z zespołu Qihoo 360 Vulcan Team i Zhenjie Jia z zespołu Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean w ramach współpracy z firmą iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic z Cisco Talos. (CVE-2019-7039)

  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7077)

  • Gal De Leon z firmy Palo Alto Networks (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7078)

  • kdot współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7049)

  • Ke Liu z laboratorium Xuanwu LAB firmy Tencent (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon i Netanel Ben-Simon z firmy Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • Użytkownik T3rmin4t0r współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) z Source Incite współpracujący z firmą iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Zespół Tencent Atuin (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng i Su Purui z Instytutu Oprogramowania Chińskiej Akademii Nauk TCA/SKLCS (CVE-2019-7076)

  • Zhenjie Jia z zespołu Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang z centrum Chengdu Security Response Center firmy Qihoo 360 Technology Co. Ltd. współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7079)

  • Bo Qu z firmy Palo Alto Networks i Heige of Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang z firmy Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng z firmy Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao z firmy Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu z firmy Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He z firmy Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei z firmy STARLabs (CVE-2019-7035)

Wersje

1 kwietnia 2019 r.: W sekcji Podziękowania dodano informację o luce CVE-2019-7035.