Säkerhetsuppdateringar för Adobe Acrobat och Reader | APSB19-07
Bulletin-ID Publiceringsdatum Prioritet
APSB19-07 12 februari 2019 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och MacOS. Dessa uppdateringar åtgärdar kritiska och viktiga säkerhetsluckor.  Exploatering kan leda till exekvering av godtycklig kod i snabbmenyn för den aktuella användaren.    

Berörda versioner

Produkt Spår Berörda versioner Plattform
Acrobat DC  Continuous 
2019.010.20069 och tidigare versioner 
Windows och macOS
Acrobat Reader DC Continuous
2019.010.20069 och tidigare versioner Windows och macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 och tidigare version Windows och macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 och tidigare version Windows och macOS
       
Acrobat DC  Classic 2015 2015.006.30464 och tidigare versioner  Windows och macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 och tidigare versioner  Windows och macOS

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.  

För IT-administratörer (administrerade miljöer):

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.
  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Spår Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC Continuous 2019.010.20091 Windows och macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows och macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows och macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows och macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows och macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows och macOS 2 Windows

macOS

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Buffertfel Exekvering av godtycklig kod  Kritisk 

CVE-2019-7020

CVE-2019-7085

Dataläckage (känsligt) Informationsexponering Kritisk  CVE-2019-7089
Dubbel frigörning Exekvering av godtycklig kod  Kritisk  CVE-2019-7080
Heltalsspill Informationsexponering Kritisk  CVE-2019-7030
Överskridning av läsningsgränser Informationsexponering Viktig

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

Kringgående av säkerhet Eskalering av behörighet Kritisk 

CVE-2018-19725

CVE-2019-7041

Överskridning av skrivningsgränser Exekvering av godtycklig kod  Kritisk 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Typförväxling Exekvering av godtycklig kod   Kritisk

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Ej tillförlitlig pekaravreferering Exekvering av godtycklig kod    Kritisk

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Användning efter frigöring  Exekvering av godtycklig kod   Kritisk 

CVE-2019-7018

CVE-2019-7025

CVE-2019-7026

CVE-2019-7029

CVE-2019-7031

CVE-2019-7040

CVE-2019-7043

CVE-2019-7044

CVE-2019-7048

CVE-2019-7050

CVE-2019-7062

CVE-2019-7068

CVE-2019-7070

CVE-2019-7072

CVE-2019-7075

CVE-2019-7077

CVE-2019-7078

CVE-2019-7082

CVE-2019-7083

CVE-2019-7084

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Sebastian Apelt  via Trend Micros Zero Day Initiative (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri via Trend Micro Zero Day Initiative (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao från Qihoo 360 Vulcan Team och Zhenjie Jia från Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean från iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic från Cisco Talos. (CVE-2019-7039)

  • Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2019-7077)

  • Gal De Leon från Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian i samarbete med Trend Micro Zero Day Initiative (CVE-2019-7078)

  • kdot i samarbete med Micro Zero Day Initiative (CVE-2019-7049)

  • Ke Liu från Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell från Trend Micro Zero Day Initiative (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon och Netanel Ben-Simon från Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley via Trend Micros Zero Day Initiative (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r i samarbete med Trend Micros Zero Day Initiative (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) från Source Incite i samarbete med iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng och Su Purui från TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia från Qihoo360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang från Chengdu Security Response Center från Qihoo 360 Technology Co. Ltd. i samarbete Trend Micro Zero Day Initiative (CVE-2019-7079)

  • Bo Qu från Palo Alto Networks och Heige från Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang från Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng från Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao från Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu från Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He från Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)