Boletim de segurança para o Adobe Acrobat e Reader | APSB18-41
ID do boletim Data de publicação Prioridade
APSB18-41 11 de dezembro de 2018 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Estas atualizações corrigem vulnerabilidades críticas e importantes. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.   

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC  Contínuo
2019.008.20081 e versões anteriores 
Windows 
Acrobat DC  Contínuo 2019.008.20080 e versões anteriores macOS
Acrobat Reader DC Contínuo
2019.008.20081 e versões anteriores Windows
Acrobat Reader DC Contínuo 2019.008.20080 e versões anteriores macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 e versões anteriores Windows
Acrobat 2017 Classic 2017 2017.011.30105 e versões anteriores macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 e versões anteriores Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 e versões anteriores macOS
       
Acrobat DC  Classic 2015 2015.006.30457 e versões anteriores  Windows
Acrobat DC  Classic 2015 2015.006.30456 e versões anteriores  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 e versões anteriores  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 e versões anteriores  macOS

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Contínuo 2019.010.20064 Windows e macOS 2 Windows

macOS
Acrobat Reader DC Contínuo 2019.010.20064
Windows e macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows e macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows e macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows e macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows e macOS 2 Windows

macOS

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE

Erros de buffer

 

Execução de código arbitrário

 

Crítico

 

CVE-2018-15998

CVE-2018-15987

 

Desreferência de ponteiro não confiável

 

Execução de código arbitrário

 

 

 

Crítico

 

 

CVE-2018-16004

CVE-2018-19720

Bypass de segurança

 

Escalonamento de privilégio

 

Crítico

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Uso após período gratuito

 

 

 

 

Execução de código arbitrário

 

 

 

 

Crítico

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Out-of-bounds Write 

 

 

 

 

Execução de código arbitrário

 

 

 

 

Crítico

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Heap Overflow

 

 

 

 

Execução de código arbitrário

 

 

 

 

Crítico

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Out-of-bounds Read

 

 

 

 

Divulgação de informações

 

 

 

 

Importante

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Transbordamento inteiro

 

Divulgação de informações

 

 

 

Importante

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Bypass de segurança Divulgação de informações Importante CVE-2018-16042

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Informado de forma anônima por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu do Xuanwu Lab da Tencent (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot trabalhando com a Iniciativa Zero-Day da Trend Micro (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) da Source Incite por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin da Equipe de segurança da NSFOCUS (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang da Universidade de Beihang por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16014)

  • guyio por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng, da Pesquisa de segurança da Trend Micro por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-15985)

  • XuPeng do TCA/SKLCS Institute of Software Chinese Academy of Sciences e HuangZheng do Baidu Security Lab (CVE-2018-12830)

  • Linan Hao da Qihoo 360 Vulcan Team e Zhenjie Jia da Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Selley por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16008)

  • Roderick Schaefer por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-19713)

  • Lin Wang da Universidade de Beihang (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe e Jorg Schwenk da Ruhr-Universität Bochum (CVE-2018-16042)

  • Aleksandar Nikolic da Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) por meio da Iniciativa Zero-Day da Trend Micro (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Agradecimento especial a Abdul Aziz Hariri da Iniciativa Zero-Day da Trend Micro por sua contribuição de defesa detalhada para proteção dos desvios de restrição de API de JavaScript (CVE-2018-16018)

  • Abdul Aziz Hariri da Iniciativa Zero-Day e Sebastian Apelt por contribuições de defesa detalhada para mitigar a superfície de ataque do Onix Indexing (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng da Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang da Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao e Qi Deng da Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao e Zhibin Zhang da Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu da Palo Alto Networks e Heige da Equipe de segurança da Knownsec 404 (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)