Бюллетень безопасности для Adobe Acrobat и Reader | APSB19-18
Идентификатор бюллетеня Дата публикации Приоритет
APSB19-18 14 мая 2019 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и важные уязвимости.  При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.     

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 
2019.010.20100 и более ранние версии 
Windows и MacOS
Acrobat Reader DC Continuous
2019.010.20099 и более ранние версии Windows и MacOS
       
Acrobat 2017 Classic 2017 2017.011.30140 и более ранние версии Windows и MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 и более ранние версии Windows и MacOS
       
Acrobat DC  Classic 2015 2015.006.30495 и более ранние версии  Windows и MacOS
Acrobat Reader DC  Classic 2015 2015.006.30493 и более ранние версии  Windows и MacOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.

Новейшие версии продуктов пользователи могут получить одним из следующих способов:

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.  

Для ИТ-администраторов (в управляемых средах):

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики в соответствующих версий замечаний к выпуску.
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2019.012.20034 Windows и macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows и macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows и macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows и macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Чтение за пределами буфера  Раскрытие информации   Важная  

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

Запись за пределами буфера Выполнение произвольного кода   Критическая   

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

Несоответствие используемых типов данных   Выполнение произвольного кода   Критическая    CVE-2019-7820
Используйте после бесплатно   Выполнение произвольного кода   Критическая   

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

Переполнение кучи Выполнение произвольного кода   Критическая   

CVE-2019-7828

CVE-2019-7827

Ошибка буфера Выполнение произвольного кода   Критическая CVE-2019-7824
Двойное высвобождение Выполнение произвольного кода     Критическая  CVE-2019-7784
Возможность обхода системы безопасности Выполнение произвольного кода  Критическая  CVE-2019-7779
Обход каталога Раскрытие информации   Важная CVE-2019-8238

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:   

  • Сюй Пэн и Су Пужуй из института TCA/SKLCS при Китайской академии наук, участники программы Trend Micro Zero Day Initiative (CVE-2019-7830, CVE-2019-7817)
  • hungtt28, Viettel Cyber Security, участник программы Trend Micro Zero Day Initiative (CVE-2019-7826, CVE-2019-7820)

  • Эстебан Руис (mr_me), Source Incite, участник программы Trend Micro Zero Day Initiative (CVE-2019-7825, CVE-2019-7822, CVE-2019-7821)

  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2019-7824, CVE-2019-7823, CVE-2019-7797, CVE-2019-7759, CVE-2019-7758)

  • Пользователь T3rmin4t0r, участник программы Trend Micro Zero Day Initiative (CVE-2019-7796)

  • Рон Вайсберг, участник программы Trend Micro Zero Day Initiative (CVE-2019-7794) 

  • Сюйдун Шао, группа Qihoo360 Vulcan (CVE-2019-7784)

  • Peternguyen, участник программы Trend Micro Zero Day Initiative (CVE-2019-7814, CVE-2019-7760)

  • Гал де Леон (Gal De Leon), Palo Alto Networks (CVE-2019-7762)

  • Александр Николич, Cisco Talos (CVE-2019-7831, CVE-2019-7761) 

  • hemidallt, участник программы Trend Micro Zero Day Initiative (CVE-2019-7809)

  • Кэ Лю, Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789, CVE-2019-7788)

  • Стивен Сили, участник программы Trend Micro Zero Day Initiative (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141, CVE-2019-7140)

  • Вэй Лэй, STARLabs (CVE-2019-7142) 

  • @j00sean (CVE-2019-7812, CVE-2019-7791, CVE-2019-7790)

  • willJ, участник программы Trend Micro Zero Day Initiative (CVE-2019-7818) 

  • Чжэньцзе Цзя, группа Qihoo 360 Vulcan (CVE-2019-7813)

  • Чжибинь Чжан, Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774, CVE-2019-7767) 

  • Бо Цюй, Palo Alto Networks и Heige, Knownsec 404 Security Team (CVE-2019-7773, CVE-2019-7766, CVE-2019-7764)

  • Ци Ден, Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772, CVE-2019-7768) 

  • Хуэй Гао, Palo Alto Networks (CVE-2019-7808, CVE-2019-7807, CVE-2019-7806)

  • Чжаоянь Сюй, Palo Alto Networks (CVE-2019-7793, CVE-2019-7792, CVE-2019-7783)

  • Чжанлинь Хэ, Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778, CVE-2019-7765)

  • Таоцзе Ван, Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775, CVE-2019-7763) 

  • Независимый исследователь в области безопасности сообщил об этой уязвимости в рамках программы SSD Secure Disclosure (CVE-2019-7805)
  • Стивен Сили (mr_me), компания Source Incite, в рамках сотрудничества с iDefense Labs (CVE-2019-7966, CVE-2019-7967)
  • Кевин Штольц, CompuPlus, Inc. (CVE-2019-8238)

Редакции

08 июля 2019 г.: обновлен раздел благодарностей

15 августа 2019 г.: добавлены сведения об уязвимостях CVE-2019-7966 и CVE-2019-7967

23 октября 2019 г.: добавлены сведения об уязвимости CVE-2019-8238.