Atualizações de segurança disponíveis para o Adobe Acrobat e Reader | APSB19-49
ID do boletim Data de publicação Prioridade
APSB19-49 15 de outubro de 2019 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. As atualizações eliminam vulnerabilidades críticas e importantes.  A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.    

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC  Continuous 

2019.012.20040 e versões anteriores  Windows e macOS
Acrobat Reader DC Continuous  2019.012.20040 e versões anteriores  Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 e versões anteriores   Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 e versões anteriores Windows e macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 e versões anteriores  Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 e versões anteriores Windows e macOS

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Continuous 2019.021.20047 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows e macOS 2

Windows

macOS

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Out-of-Bounds Read   Divulgação de informações   Importante   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Gravação fora dos limites  Execução de código arbitrário    Crítico

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Uso após período gratuito    Execução de código arbitrário      Crítico

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Heap Overflow  Execução de código arbitrário      Crítico

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Transbordamento de dados Execução de código arbitrário      Crítico CVE-2019-8166
Script entre sites  Divulgação de informações Importante    CVE-2019-8160
Condição de corrida Execução de código arbitrário   Crítico CVE-2019-8162
Implementação incompleta de mecanismo de segurança Divulgação de informações Importante  CVE-2019-8226
Confusão do tipo Execução de código arbitrário   Crítico

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Desreferência de ponteiro não confiável Execução de código arbitrário  Crítico

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Erros de buffer Execução de código arbitrário  Crítico CVE-2019-16470

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:    

  • Anônimo trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie do Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 da Viettel Cyber Security trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian que trabalha com a Zero Day Initiative da Trend Micro (CVE-2019-8172) 
  • Ke Liu do Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8064) 
  • Mat Powell da Zero Day Initiative da Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk do Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) da Source Incite trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige da Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin e Lee JinYoung da Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 do SEFCOM Lab, Universidade Estadual do Arizona (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) da Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung do STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research na Flexera (CVE-2019-8222)
  • Aleksandar Nikolic da Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) da Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang e willJ do Chengdu Security Response Center da Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme) e Li Qi(@leeqwind) e Yang Jianxiong(@sinkland_) da Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung do Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu da Palo Alto Networks e Heige da Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang da Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) trabalhando com a Zero Day Initiative da Trend Micro (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie do Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng da Qihoo 360 Core Security e Jiadong Lu da South China University of Technology (CVE-2019-8162)
  • Zhangqing e Zhiyuan Wang do cdsrc de Qihoo 360 (CVE-2019-16470)

Revisões

11 de novembro de 2019: Confirmação adicionada para CVE-2019-8195 e CVE-2019-8196.

13 de fevereiro de 2020: adição de agradecimento referente a CVE-2019-16471, CVE-2019-16470.