Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB19-49

ID biuletynu	Data publikacji	Priorytet
APSB19-49	15 października 2019	2

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i  istotnych luk w zabezpieczeniach.  Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.    

Produkt	Ścieżka	Zagrożone wersje	Platforma
Acrobat DC	Continuous	2019.012.20040 i wcześniejsze wersje	Windows i macOS
Acrobat Reader DC	Continuous	2019.012.20040 i wcześniejsze wersje	Windows i macOS

Acrobat 2017	Classic 2017	2017.011.30148 i wcześniejsze wersje	Windows i macOS
Acrobat Reader 2017	Classic 2017	2017.011.30148 i wcześniejsze wersje	Windows i macOS

Acrobat 2015	Classic 2015	2015.006.30503 i wcześniejsze wersje	Windows i macOS
Acrobat Reader 2015	Classic 2015	2015.006.30503 i wcześniejsze wersje	Windows i macOS

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):     

Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt	Ścieżka	Zaktualizowane wersje	Platforma	Ocena priorytetu	Dostępność
Acrobat DC	Continuous	2019.021.20047	Windows i macOS	2	Windows     macOS
Acrobat Reader DC	Continuous	2019.021.20047	Windows i macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30150	Windows i macOS	2	Windows macOS
Acrobat Reader 2017	Classic 2017	2017.011.30150	Windows i macOS	2	Windows macOS

Acrobat 2015	Classic 2015	2015.006.30504	Windows i macOS	2	Windows macOS
Acrobat Reader 2015	Classic 2015	2015.006.30504	Windows i macOS	2	Windows macOS

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Istotność	Numer CVE
Odczyt poza zakresem	Ujawnienie informacji	Istotna	CVE-2019-8164 CVE-2019-8168 CVE-2019-8172 CVE-2019-8173 CVE-2019-8064 CVE-2019-8182 CVE-2019-8184 CVE-2019-8185 CVE-2019-8189 CVE-2019-8163 CVE-2019-8190 CVE-2019-8193 CVE-2019-8194 CVE-2019-8198 CVE-2019-8201 CVE-2019-8202 CVE-2019-8204 CVE-2019-8207 CVE-2019-8216 CVE-2019-8218 CVE-2019-8222
Zapis poza zakresem	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8171 CVE-2019-8186 CVE-2019-8165 CVE-2019-8191 CVE-2019-8199 CVE-2019-8206
Użycie pamięci po zwolnieniu	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8175 CVE-2019-8176 CVE-2019-8177 CVE-2019-8178 CVE-2019-8179 CVE-2019-8180 CVE-2019-8181 CVE-2019-8187 CVE-2019-8188 CVE-2019-8192 CVE-2019-8203 CVE-2019-8208 CVE-2019-8209 CVE-2019-8210 CVE-2019-8211 CVE-2019-8212 CVE-2019-8213 CVE-2019-8214 CVE-2019-8215 CVE-2019-8217 CVE-2019-8219 CVE-2019-8220 CVE-2019-8221 CVE-2019-8223 CVE-2019-8224 CVE-2019-8225 CVE-2019-16471
Przepełnienie sterty	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8170 CVE-2019-8183 CVE-2019-8197
Przepełnienie buforu	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8166
XSS	Ujawnienie informacji	Istotna	CVE-2019-8160
Wyścig procesów	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8162
Niekompletna implementacja mechanizmu zabezpieczeń	Ujawnienie informacji	Istotna	CVE-2019-8226
Błędne rozpoznanie typu	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8161 CVE-2019-8167 CVE-2019-8169 CVE-2019-8200
Wyłuskanie niezaufanego wskaźnika	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-8174 CVE-2019-8195 CVE-2019-8196 CVE-2019-8205
Błędy bufora	Wykonanie dowolnego kodu	Krytyczna	CVE-2019-16470

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
Haikuo Xie z firmy Baidu Security Lab współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8209, CVE-2019-8223)
Użytkownik hungtt28 z Viettel Cyber Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8204)
Juan Pablo Lopez Yacubian współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8172)
Ke Liu z Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
Użytkownik L4Nce współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8064)
Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
Mateusz Jurczyk z projektu Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
Użytkownik peternguyen współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8176, CVE-2019-8224)
Steven Seeley (mr_me) z firmy Source Incite współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
Użytkownik Heige z zespołu Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160)
Xizsmin i Lee JinYoung z laboratorium Codemize Security Research Lab (CVE-2019-8218)
Użytkownik Mipu94 z laboratorium SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
Esteban Ruiz (mr_me) z firmy Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
Ta Dinh Sung z firmy STAR Labs (CVE-2019-8220, CVE-2019-8221)
Behzad Najjarpour Jabbari pracujący w ramach programu Secunia Research w firmie Flexera (CVE-2019-8222)
Aleksandar Nikolic z Cisco Talos. (CVE-2019-8183)
Nguyen Hong Quang (https://twitter.com/quangnh89) z firmy Viettel Cyber Security (CVE-2019-8193)
Zhiyuan Wang i willJ z Chengdu Security Response Center w firmie Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186)
Yangkang (@dnpushme), Li Qi (@leeqwind) i Yang Jianxiong (@sinkland_) z firmy Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8194)
Lee JinYoung z laboratorium Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216)
Bo Qu z firmy Palo Alto Networks i Heige z zespołu Knownsec 404 Security Team (CVE-2019-8205)
Zhibin Zhang z firmy Palo Alto Networks (CVE-2019-8206)
Andrew Hart (CVE-2019-8226)
Użytkownik peternguyen (meepwn ctf) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-8192, CVE-2019-8177)
Haikuo Xie z firmy Baidu Security Lab (CVE-2019-8184)
Zhiniang Peng z Qihoo 360 Core security i Jiadong Lu z Południowochińskiego Uniwersytetu Technologicznego (CVE-2019-8162)
Zhangqing i Zhiyuan Wang z cdsrc firmy Qihoo 360 (CVE-2019-16470)

11 listopada 2019 r.: Dodano podziękowanie dotyczące problemów CVE-2019-8195 i CVE-2019-8196.

13 lutego 2020 r.: Dodano podziękowanie dotyczące problemów CVE-2019-16471 i CVE-2019-16470.

Biuletyn dotyczący zabezpieczeń firmy Adobe

Podsumowanie

Zagrożone wersje

Rozwiązanie

Informacje o luce w zabezpieczeniach

Podziękowania

Wersje

Zapytaj społeczność

Skontaktuj się z nami