Обновления безопасности для Adobe Acrobat и Reader | APSB19-49
Идентификатор бюллетеня Дата публикации Приоритет
APSB19-49 15 октября 2019 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и важные уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.    

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2019.012.20040 и более ранние версии  Windows и macOS
Acrobat Reader DC Continuous  2019.012.20040 и более ранние версии  Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 и более ранние версии   Windows и macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 и более ранние версии Windows и macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 и более ранние версии  Windows и macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 и более ранние версии Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2019.021.20047 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows и macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows и macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Чтение за пределами буфера   Раскрытие информации   Важная   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Запись за пределами буфера  Выполнение произвольного кода    Критическая

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Используйте после бесплатно    Выполнение произвольного кода      Критическая

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Переполнение кучи  Выполнение произвольного кода      Критическая

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Переполнение буфера Выполнение произвольного кода      Критическая CVE-2019-8166
Межсайтовый скриптинг  Раскрытие информации Важная    CVE-2019-8160
Состояние гонки Выполнение произвольного кода   Критическая CVE-2019-8162
Неполная реализация механизма безопасности Раскрытие информации Важная  CVE-2019-8226
Несоответствие используемых типов данных Выполнение произвольного кода   Критическая

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Несанкционированное разыменование указателя Выполнение произвольного кода  Критическая

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Ошибки буфера Выполнение произвольного кода  Критическая CVE-2019-16470

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Хайко Се, Baidu Security Lab, участник программы Trend Micro Zero Day Initiative (CVE-2019-8209, CVE-2019-8223)
  • hungtt28, Viettel Cyber Security, участник программы Trend Micro Zero Day Initiative (CVE-2019-8204)
  • Хуан Пабло Лопех Якубиан, участник программы Trend Micro Zero Day Initiative (CVE-2019-8172) 
  • Кэ Лю, Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce , участник программы Trend Micro Zero Day Initiative (CVE-2019-8064)
  • Мэт Пауэлл, участник программы Trend Micro Zero Day Initiative (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Матеуш Юрквик, Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen, участник программы Trend Micro Zero Day Initiative (CVE-2019-8176, CVE-2019-8224)
  • Стивен Сили (mr_me), Source Incite, участник программы Trend Micro Zero Day Initiative (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige, Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin и Ли Джин-Янг, Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94, SEFCOM Lab, Университет штата Аризона (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
  • Эстебан Руис (mr_me), Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Та Динь Сунг, STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Бехзад Наджарпур Джабари, Secunia Research в Flexera (CVE -2019-8222)
  • Александр Николик, Cisco Talos. (CVE-2019-8183) 
  • Нгуен Хонг Куанг (https://twitter.com/quangnh89), Viettel Cyber Security (CVE-2019-8193)
  • Чжиюань Ван и willJ, центр Чэнду по вопросам безопасности, Qihoo 360 CO. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Янкан (@dnpushme), Ли Ци (@leeqwind) и Ян Цзяньсюн (@sinkland_), Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Ли Джин-Янг, Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Бо Ку, Palo Alto Networks и Heige из группы Knownsec 404 Security Team (CVE-2019-8205)
  • Чжибинь Чжан, Palo Alto Networks (CVE-2019-8206)
  • Эндрю Харт (CVE-2019-8226)
  • peternguyen (meepwn ctf), участник программы Trend Micro Zero Day Initiative (CVE-2019-8192, CVE-2019-8177) 
  • Хайко Се, Baidu Security Lab (CVE-2019-8184)
  • Чжинян Пэн, Qihoo 360 Core security и Цзядун Лу, Южно-китайский технологический университет (CVE-2019-8162)
  • Чжанцин и Чжиюань Ван из cdsrc of Qihoo 360 (CVE-2019-16470)

Редакции

11 ноября 2019 г.: добавлена благодарность за CVE-2019-8195 и CVE-2019-8196.

13 августа 2020 г.: добавлена благодарность за CVE-2019-16471, CVE-2019-16470.