Biuletyn dotyczący zabezpieczeń firmy Adobe

Biuletyn dotyczący zabezpieczeń programów Adobe Acrobat i Reader | APSB19-18

ID biuletynu	Data publikacji	Priorytet
APSB19-18	14 maja 2019 r.	2

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach.  Odpowiednie postępowanie mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.     

Produkt	Ścieżka	Zagrożone wersje	Platforma
Acrobat DC	Continuous	2019.010.20100 i starsze wersje	Windows i macOS
Acrobat Reader DC	Continuous	2019.010.20099 i starsze wersje	Windows i macOS

Acrobat 2017	Classic 2017	2017.011.30140 i starsze wersje	Windows i macOS
Acrobat Reader 2017	Classic 2017	2017.011.30138 i starsze wersje	Windows i macOS

Acrobat DC	Classic 2015	2015.006.30495 i starsze wersje	Windows i macOS
Acrobat Reader DC	Classic 2015	2015.006.30493 i starsze wersje	Windows i macOS

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt	Ścieżka	Zaktualizowane wersje	Platforma	Ocena priorytetu	Dostępność
Acrobat DC	Continuous	2019.012.20034	Windows i macOS	2	Windows macOS
Acrobat Reader DC	Continuous	2019.012.20034	Windows i macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30142	Windows i macOS	2	Windows macOS
Acrobat Reader DC 2017	Classic 2017	2017.011.30142	Windows i macOS	2	Windows macOS

Acrobat DC	Classic 2015	2015.006.30497	Windows i macOS	2	Windows macOS
Acrobat Reader DC	Classic 2015	2015.006.30497	Windows i macOS	2	Windows macOS

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Istotność	Numer CVE
Odczyt poza zakresem	Ujawnienie informacji	Istotna	CVE-2019-7841 CVE-2019-7836 CVE-2019-7826 CVE-2019-7813 CVE-2019-7812 CVE-2019-7811 CVE-2019-7810 CVE-2019-7803 CVE-2019-7802 CVE-2019-7801 CVE-2019-7799 CVE-2019-7798 CVE-2019-7795 CVE-2019-7794 CVE-2019-7793 CVE-2019-7790 CVE-2019-7789 CVE-2019-7787 CVE-2019-7780 CVE-2019-7778 CVE-2019-7777 CVE-2019-7776 CVE-2019-7775 CVE-2019-7774 CVE-2019-7773 CVE-2019-7771 CVE-2019-7770 CVE-2019-7769 CVE-2019-7758 CVE-2019-7145 CVE-2019-7144 CVE-2019-7143 CVE-2019-7142 CVE-2019-7141 CVE-2019-7140 CVE-2019-7966
Zapis poza zakresem	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7829 CVE-2019-7825 CVE-2019-7822 CVE-2019-7818 CVE-2019-7804 CVE-2019-7800 CVE-2019-7967
Błędne rozpoznanie typu	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7820
Użycie pamięci po zwolnieniu (Use After Free)	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7835 CVE-2019-7834 CVE-2019-7833 CVE-2019-7832 CVE-2019-7831 CVE-2019-7830 CVE-2019-7823 CVE-2019-7821 CVE-2019-7817 CVE-2019-7814 CVE-2019-7809 CVE-2019-7808 CVE-2019-7807 CVE-2019-7806 CVE-2019-7805 CVE-2019-7797 CVE-2019-7796 CVE-2019-7792 CVE-2019-7791 CVE-2019-7788 CVE-2019-7786 CVE-2019-7785 CVE-2019-7783 CVE-2019-7782 CVE-2019-7781 CVE-2019-7772 CVE-2019-7768 CVE-2019-7767 CVE-2019-7766 CVE-2019-7765 CVE-2019-7764 CVE-2019-7763 CVE-2019-7762 CVE-2019-7761 CVE-2019-7760 CVE-2019-7759
Przepełnienie sterty	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7828 CVE-2019-7827
Błąd bufora	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7824
Dwukrotne zwolnienie pamięci	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7784
Ominięcie zabezpieczeń	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-7779
Przeglądanie ścieżek	Ujawnienie informacji	Istotna	CVE-2019-8238

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

Xu Peng i Su Purui z TCA/SKLCS Institute of Software Chinese Academy of Sciences współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7830, CVE-2019-7817)
Użytkownik hungtt28 z Viettel Cyber Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7826, CVE-2019-7820)
Esteban Ruiz (mr_me) z Source Incite współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7825, CVE-2019-7822, CVE-2019-7821)
Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7824, CVE-2019-7823, CVE-2019-7797, CVE-2019-7759, CVE-2019-7758)
Użytkownik T3rmin4t0r współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7796)
Ron Waisberg współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7794)
Linan Hao z zespołu Qihoo 360 Vulcan (CVE-2019-7784)
Użytkownik Peternguyen współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7814, CVE-2019-7760)
Gal De Leon z firmy Palo Alto Networks (CVE-2019-7762)
Aleksandar Nikolic z firmy Cisco Talos (CVE-2019-7831, CVE-2019-7761)
Użytkownik hemidallt współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7809)
Ke Liu z laboratorium Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789, CVE-2019-7788)
Steven Seeley współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141, CVE-2019-7140)
Wei Lei z firmy STARLabs (CVE-2019-7142)
@j00sean (CVE-2019-7812, CVE-2019-7791, CVE-2019-7790)
Użytkownik willJ współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-7818)
Zhenjie Jia z zespołu Qihoo 360 Vulcan (CVE-2019-7813)
Zhibin Zhang z firmy Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774, CVE-2019-7767)
Bo Qu z firmy Palo Alto Networks i użytkownik Heige z zespołu Knownsec 404 Security Team (CVE-2019-7773, CVE-2019-7766, CVE-2019-7764)
Qi Deng z Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772, CVE-2019-7768)
Hui Gao z firmy Palo Alto Networks (CVE-2019-7808, CVE-2019-7807, CVE-2019-7806)
Zhaoyan Xu z firmy Palo Alto Networks (CVE-2019-7793, CVE-2019-7792, CVE-2019-7783)
Zhanglin He z firmy Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778, CVE-2019-7765)
Taojie Wang z firmy Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775, CVE-2019-7763)

Niezależny badacz zabezpieczeń zgłosił tę lukę w ramach programu SSD Secure Disclosure (CVE-2019-7805)
Steven Seeley (mr_me) z firmy Source Incite współpracujący z firmą iDefense Labs (CVE-2019-7966, CVE-2019-7967)
Kevin Stoltz z firmy CompuPlus, Inc. (CVE-2019-8238)

8 lipca 2019 r.: Zaktualizowano sekcję Podziękowania

15 sierpnia 2019 r.: Dodano szczegółowe informacje dotyczące luki CVE-2019-7966 i CVE-2019-7967.

23 października 2019 r.: Podano szczegółowe informacje na temat problemu CVE-2019-8238.

Biuletyn dotyczący zabezpieczeń firmy Adobe

Podsumowanie

Zagrożone wersje

Rozwiązanie

Informacje o luce w zabezpieczeniach

Podziękowania

Wersje

Zapytaj społeczność

Skontaktuj się z nami