Buletin de securitate pentru Adobe Acrobat și Reader | APSB19-41
ID buletin Data publicării Prioritate
APSB19-41 13 august 2019 2

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Acrobat și Reader pentru Windows și macOS. Acestea remediază vulnerabilități importante.  O exploatare reușită ar putea duce la executare de cod arbitrară în contextul utilizatorului curent.    

Versiuni afectate

Aceste actualizări vor remedia vulnerabilități importante din software. Adobe va aloca acestor actualizări următoarele evaluări ale priorității:

Produs Urmărire Versiuni afectate Platformă
Acrobat DC  Continuous 

2019.012.20034 și versiunile anterioare  macOS
Acrobat DC  Continuous  2019.012.20035 și versiunile anterioare Windows
Acrobat Reader DC Continuous

2019.012.20034 și versiunile anterioare  macOS
Acrobat Reader DC Continuous  2019.012.20035 și versiunile anterioare  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 și versiunile anterioare   macOS
Acrobat DC  Classic 2017 2017.011.30143 și versiunile anterioare Windows
Acrobat Reader DC Classic 2017 2017.011.30142 și versiunile anterioare macOS
Acrobat Reader DC Classic 2017 2017.011.30143 și versiunile anterioare Windows
       
Acrobat DC  Classic 2015 2015.006.30497 și versiunile anterioare  macOS
Acrobat DC  Classic 2015 2015.006.30498 și versiunile anterioare Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 și versiunile anterioare  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 și versiunile anterioare Windows

Soluție

Adobe le recomandă utilizatorilor să își actualizeze instalările de software la cele mai recente versiuni, urmând instrucțiunile de mai jos.    

Cele mai recente versiuni ale produselor sunt disponibile pentru utilizatorii finali prin una dintre următoarele metode:    

  • Utilizatorii pot actualiza instalările produselor manual, selectând Asistență > Căutare actualizări.     

  • Produsele se vor actualiza automat, fără a necesita intervenția utilizatorului, atunci când sunt detectate actualizări.      

  • Programul de instalare complet Acrobat Reader poate fi descărcat de la Centrul de descărcări Acrobat Reader.     

Pentru administratorii IT (medii gestionate):     

  • Descărcați programele de instalare enterprise de la ftp://ftp.adobe.com/pub/adobe/ sau consultați versiunea specifică a notelor de lansare pentru linkuri către programele de instalare.     

  • Instalați actualizările prin metoda preferată, cum ar fi AIP-GPO, bootstrapper, SCUP/SCCM (Windows) sau, pe macOS, Apple Remote Desktop și SSH.  

   

Adobe acordă acestor actualizări următoarele evaluări ale priorității și le recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:    

Produs Urmărire Versiuni actualizate Platformă Evaluare a priorității Disponibilitate
Acrobat DC Continuous 2019.012.20036 Windows și macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows și macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows și macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows și macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows și macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows și macOS 2

Windows

macOS

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Număr CVE

Citire în afara limitelor   

 

 

Divulgarea informațiilor   

 

 

Importantă   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Scriere în afara limitelor   

 

 

Executare de cod arbitrară    

 

 

Importantă  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Injectare comenzi  Executare de cod arbitrară   Importantă  CVE-2019-8060

Utilizare după dealocare   

 

 

Executare de cod arbitrară     

 

 

Importantă 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Depășire heap 

 

 

Executare de cod arbitrară     

 

 

Importantă 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Eroare de buffer  Executare de cod arbitrară       Importantă   CVE-2019-8048
Dezalocare dublă  Executare de cod arbitrară      Importantă    CVE-2019-8044 
Depășire a valorilor întregi Divulgarea informațiilor Importantă 

CVE-2019-8099

CVE-2019-8101

Divulgare de IP intern Divulgarea informațiilor Importantă  CVE-2019-8097
Confuzie de tipuri Executare de cod arbitrară   Importantă 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Dereferențiere de pointer neautorizată

 

 

Executare de cod arbitrară 

 

 

Importantă 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Criptare robustă insuficientă Ocolirea caracteristicii de securitate Critică CVE-2019-8237
Confuzie de tipuri Divulgarea informațiilor Importantă

CVE-2019-8251

CVE-2019-8252

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:    

  • Dhanesh Kizhakkinan de la FireEye Inc.(CVE-2019-8066) 
  • Xu Peng și Su Purui de la Institutul de software TCA/SKLCS, Academia Chineză de Științe și echipa Codesafe de la Legendsec, de la grupul Qi'anxin (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, cercetător independent de securitate; https://imAK.xyz/ (CVE-2019-8097)
  • Anonim, lucrând cu inițiativa Zero Day de la Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie de la Baidu Security Lab, în colaborare cu Inițiativa Zero Day de la Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei de la STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi(@leeqwind), Wang Lei(@CubestoneW) și Liao Bangjie(@b1acktrac3) de la Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8012) 
  • Ke Liu de la Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie de la Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io), lucrând cu inițiativa Zero Day de la Trend Micro (CVE-2019-8014) 
  • Mat Powell de la inițiativa Zero Day de la Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk de la Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen, lucrând cu inițiativa Zero Day de la Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun de la inițiativa Zero Day de la Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) de la Source Incite, în colaborare cu Inițiativa Zero Day de la Trend Micro (CVE-2019-8019)
  • Steven Seeley (mr_me) de la Source Incite, lucrând cu iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ lucrând cu inițiativa Zero Day de la Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) de la Source Incite, lucrând cu iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu de la Palo Alto Networks și Heige din echipa de securitate Knownsec 404 (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao de la Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai de la Palo Alto Networks (CVE-2019-8025) 
  • Bit of STARLabs, Anonim, lucrând cu inițiativa Zero Day de la Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) din echipa Topsec Alpha (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) de la Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revizii

14 august 2019: s-a adăugat recunoașterea pentru CVE-2019-8016 și CVE-2019-8017.

22 august 2019: S-a actualizat ID-ul CVE de la CVE-2019-7832 la CVE-2019-8066.

26 septembrie 2019: s-a adăugat recunoașterea pentru CVE-2019-8060.

23 octombrie 2019: s-au inclus detalii despre CVE-2019-8237.

19 noiembrie 2019: s-au inclus detalii despre CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 decembrie 2019: s-au inclus detalii despre CVE-2019-8257.