Dostępne aktualizacje zabezpieczeń programów Adobe Acrobat i Adobe Reader | APSB19-55
ID biuletynu Data publikacji Priorytet
APSB19-55 10 grudnia 2019 r. 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i  istotnych luk w zabezpieczeniach.  Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.    

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2019.021.20056 i wcześniejsze wersje  Windows i macOS
Acrobat Reader DC Continuous   2019.021.20056 i wcześniejsze wersje  Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 i wcześniejsze wersje  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 i wcześniejsze wersje macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 i wcześniejsze wersje Windows i macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 i wcześniejsze wersje Windows i macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 i wcześniejsze wersje Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2019.021.20058 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows i macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows i macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows i macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Odczyt poza zakresem   Ujawnienie informacji   Istotna  

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Zapis poza zakresem  Wykonanie dowolnego kodu    Krytyczna

CVE-2019-16450

CVE-2019-16454

Użycie pamięci po zwolnieniu    Wykonanie dowolnego kodu      Krytyczna

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Przepełnienie sterty  Wykonanie dowolnego kodu      Krytyczna CVE-2019-16451
Błąd bufora Wykonanie dowolnego kodu      Krytyczna CVE-2019-16462
Wyłuskanie niezaufanego wskaźnika Wykonanie dowolnego kodu  Krytyczna

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Binary Planting (podniesienie uprawnień do folderu domyślnego)  Podniesienie uprawnień Istotna  CVE-2019-16444
Ominięcie zabezpieczeń Wykonanie dowolnego kodu Krytyczna CVE-2019-16453

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Mateusz Jurczyk z Google Project Zero & Anonymous współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444) 

  • Ke Liu z laboratorium Xuanwu Lab firmy Tencent Security. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94) z SEFCOM Lab w Arizona State University (CVE-2019-16446, CVE-2019-16448) 

  • Aleksandar Nikolic z Cisco Talos (CVE-2019-16463)

  • Zespół pomocy technicznej firmy HTBLA Leonding (CVE-2019-16453) 

  • Haikuo Xie z firmy Baidu Security Lab (CVE-2019-16461)

  • Bit z firmy STAR Labs (CVE-2019-16452) 

  • Xinyu Wan i Yiwei Zhang z Renmin University of China (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Bo Qu z firmy Palo Alto Networks i Heige z zespołu Knownsec 404 Security Team (CVE-2019-16456) 

  • Zhibin Zhang z firmy Palo Alto Networks (CVE-2019-16457)

  • Qi Deng, Ken Hsu z firmy Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun i Hao Cai z firmy Palo Alto Networks (CVE-2019-16459)

  • Yue Guan, Haozhe Zhang z firmy Palo Alto Networks (CVE-2019-16464) 

  • Hui Gao z firmy Palo Alto Networks (CVE-2019-16465)

  • Zhibin Zhang, Yue Guan z firmy Palo Alto Networks (CVE-2019-16465)