Biuletyn dotyczący zabezpieczeń programów Adobe Acrobat i Reader | APSB19-41
ID biuletynu Data publikacji Priorytet
APSB19-41 13 sierpnia 2019 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje usuwają istotne luki w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.    

Zagrożone wersje

Te aktualizacje usuwają istotne luki w zabezpieczeniach oprogramowania. Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów:

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2019.012.20034 i wcześniejsze wersje  macOS
Acrobat DC  Continuous  2019.012.20035 i wcześniejsze wersje Windows
Acrobat Reader DC Continuous

2019.012.20034 i wcześniejsze wersje  macOS
Acrobat Reader DC Continuous  2019.012.20035 i wcześniejsze wersje  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 i wcześniejsze wersje   macOS
Acrobat DC  Classic 2017 2017.011.30143 i wcześniejsze wersje Windows
Acrobat Reader DC Classic 2017 2017.011.30142 i wcześniejsze wersje   macOS
Acrobat Reader DC Classic 2017 2017.011.30143 i wcześniejsze wersje Windows
       
Acrobat DC  Classic 2015 2015.006.30497 i wcześniejsze wersje  macOS
Acrobat DC  Classic 2015 2015.006.30498 i wcześniejsze wersje Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 i wcześniejsze wersje  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 i wcześniejsze wersje Windows

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2019.012.20036 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows i macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows i macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows i macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows i macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE

Odczyt poza zakresem   

 

 

Ujawnienie informacji   

 

 

Istotna   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Zapis poza zakresem   

 

 

Wykonanie dowolnego kodu    

 

 

Istotna  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Wstrzyknięcie polecenia  Wykonanie dowolnego kodu   Istotna  CVE-2019-8060

Użycie pamięci po zwolnieniu   

 

 

Wykonanie dowolnego kodu     

 

 

Istotna 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Przepełnienie sterty 

 

 

Wykonanie dowolnego kodu     

 

 

Istotna 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Błąd bufora  Wykonanie dowolnego kodu       Istotna   CVE-2019-8048
Dwukrotne zwolnienie pamięci  Wykonanie dowolnego kodu      Istotna    CVE-2019-8044 
Przekroczenie zakresu liczb całkowitych Ujawnienie informacji Istotna 

CVE-2019-8099

CVE-2019-8101

Wewnętrzne ujawnienie adresu IP Ujawnienie informacji Istotna  CVE-2019-8097
Błędne rozpoznanie typu Wykonanie dowolnego kodu   Istotna 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Wyłuskanie niezaufanego wskaźnika

 

 

Wykonanie dowolnego kodu 

 

 

Istotna 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Niewystarczająco silne szyfrowanie Obejście funkcji bezpieczeństwa Krytyczna CVE-2019-8237
Błędne rozpoznanie typu Ujawnienie informacji Istotna

CVE-2019-8251

CVE-2019-8252

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Dhanesh Kizhakkinan z firmy FireEye Inc. (CVE-2019-8066) 
  • Xu Peng i Su Purui z Instytutu Oprogramowania TCA/SKLCS Chińskiej Akademii Nauk oraz zespół Codesafe z firmy Legendsec należącej do grupy Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, niezależny badacz zabezpieczeń; https://imAK.xyz/ (CVE-2019-8097)
  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie z firmy Baidu Security Lab współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei z firmy STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) oraz Liao Bangjie (@b1acktrac3) z firmy Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 
  • Ke Liu z firmy Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie z firmy Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • Użytkownik ktkitty (https://ktkitty.github.io) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8014) 
  • Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk z zespołu Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • Użytkownik peternguyen współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) z firmy Source Incite współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8019)
  • Steven Seeley (mr_me) z firmy Source Incite we współpracy z iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • Użytkownik willJ współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) z firmy Source Incite we współpracy z iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu z firmy Palo Alto Networks i użytkownik Heige z zespołu Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu i Hui Gao z firmy Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun i Hao Cai z firmy Palo Alto Networks (CVE-2019-8025) 
  • Użytkownik Bit z firmy STARLabs współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li (CK01) z zespołu Topsec Alpha (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) z firmy Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Wersje

14 sierpnia 2019 r.: Dodano podziękowanie dotyczące problemów CVE-2019-8016 i CVE-2019-8017.

22 sierpnia 2019 r.: Zaktualizowano identyfikatory CVE od CVE-2019-7832 do CVE-2019-8066.

26 września 2019 r.: Dodano podziękowanie dotyczące problemów CVE-2019-8060.

23 października 2019 r.: Podano szczegółowe informacje na temat problemu CVE-2019-8237.

19 listopada 2019 r.: Podano szczegółowe informacje na temat problemów CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 grudnia 2019 r.: Podano szczegółowe informacje na temat problemu CVE-2019-8257.