Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB19-55
Идентификатор бюллетеня Дата публикации Приоритет
APSB19-55 10 декабря 2019 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и важные уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.    

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2019.021.20056 и более ранние версии  Windows и macOS
Acrobat Reader DC Continuous   2019.021.20056 и более ранние версии  Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 и более ранние версии  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 и более ранние версии macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 и более ранние версии  Windows и macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 и более ранние версии Windows и macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 и более ранние версии Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2019.021.20058 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows и macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows и macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Чтение за пределами буфера   Раскрытие информации   Важная   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Запись за пределами буфера  Выполнение произвольного кода    Критическая

CVE-2019-16450

CVE-2019-16454

Используйте после бесплатно    Выполнение произвольного кода      Критическая

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Переполнение кучи  Выполнение произвольного кода      Критическая CVE-2019-16451
Ошибка буфера Выполнение произвольного кода      Критическая CVE-2019-16462
Несанкционированное разыменование указателя Выполнение произвольного кода  Критическая

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Внедрение двоичного кода (повышение привилегий для доступа к папке по умолчанию) Повышение уровня полномочий Важная  CVE-2019-16444
Возможность обхода системы безопасности Выполнение произвольного кода Критическая CVE-2019-16453

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Матеуш Юрчик, Google Project Zero и анонимный пользователь, участники программы Trend Micro Zero Day Initiative (CVE-2019-16451)

  • Хонк (章哲瑜) (CVE-2019-16444) 

  • Кэ Лю, Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Сунг Та (@Mipu94), SEFCOM Lab, Университет штата Аризона (CVE-2019-16446, CVE-2019-16448) 

  • Александр Николич, Cisco Talos (CVE-2019-16463)

  • Группа технической поддержки HTBLA Leonding (CVE-2019-16453) 

  • Хайко Се, Baidu Security Lab (CVE-2019-16461)

  • Бит из STAR Labs (CVE-2019-16452) 

  • Синьюй Вань и Ивэй Чжан, Китайский народный университет (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Бо Ку, Palo Alto Networks и Heige, Knownsec 404 Security Team (CVE-2019-16456)

  • Чжибинь Чжан, Palo Alto Networks (CVE-2019-16457)

  • Ци Ден, Кэнь Hсу, Palo Alto Networks (CVE-2019-16458)

  • Лэсюань Сунь, Хао Цай, Palo Alto Networks (CVE-2019-16459)

  • Юэ Гуань, Хаочжэ Чжан, Palo Alto Networks (CVE-2019-16464)

  • Хуэй Гао, Palo Alto Networks (CVE-2019-16465)

  • Чжибинь Чжан, Юэ Гуань, Palo Alto Networks (CVE-2019-16465)