Säkerhetsbulletin för Adobe Acrobat och Reader | APSB19-41
Bulletin-ID Publiceringsdatum Prioritet
APSB19-41 den 13 augusti 2019 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar viktiga sårbarheter. Exploatering kan leda till exekvering av godtycklig kod i snabbmenyn för den aktuella användaren.    

Berörda versioner

Dessa uppdateringar åtgärdar viktiga sårbarheter i programmet. Adobe ger uppdateringarna nedan följande prioritetsklassificeringar:

Produkt Spår Berörda versioner Plattform
Acrobat DC  Continuous 

2019.012.20034 och tidigare versioner  macOS
Acrobat DC  Continuous  2019.012.20035 och tidigare versioner Windows
Acrobat Reader DC Continuous

2019.012.20034 och tidigare versioner  macOS
Acrobat Reader DC Continuous  2019.012.20035 och tidigare versioner  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 och tidigare versioner   macOS
Acrobat DC  Classic 2017 2017.011.30143 och tidigare versioner Windows
Acrobat Reader DC Classic 2017 2017.011.30142 och tidigare versioner macOS
Acrobat Reader DC Classic 2017 2017.011.30143 och tidigare versioner Windows
       
Acrobat DC  Classic 2015 2015.006.30497 och tidigare versioner  macOS
Acrobat DC  Classic 2015 2015.006.30498 och tidigare versioner Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 och tidigare versioner  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 och tidigare versioner Windows

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Produkt Spår Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC Continuous 2019.012.20036 Windows och macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows och macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows och macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows och macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows och macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows och macOS 2

Windows

macOS

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer

Överskridning av läsningsgränser   

 

 

Informationsexponering   

 

 

Viktigt   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Överskridning av skrivningsgränser   

 

 

Exekvering av godtycklig kod    

 

 

Viktigt  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Kommandoinjektion  Exekvering av godtycklig kod   Viktigt  CVE-2019-8060

Användning efter frigöring   

 

 

Exekvering av godtycklig kod     

 

 

Viktigt 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Stackfel 

 

 

Exekvering av godtycklig kod     

 

 

Viktigt 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Buffertfel  Exekvering av godtycklig kod       Viktigt   CVE-2019-8048
Dubbel frigörning  Exekvering av godtycklig kod      Viktigt    CVE-2019-8044 
Heltalsspill Informationsexponering Viktigt 

CVE-2019-8099

CVE-2019-8101

Intern IP-exponering Informationsexponering Viktigt  CVE-2019-8097
Typförväxling Exekvering av godtycklig kod   Viktigt 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Ej tillförlitlig pekaravreferering

 

 

Exekvering av godtycklig kod 

 

 

Viktigt 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Otillräcklig robust kryptering Åsidosättning av säkerhetsfunktion Kritisk CVE-2019-8237
Typförväxling Informationsexponering Viktig

CVE-2019-8251

CVE-2019-8252

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:    

  • Dhanesh Kizhakkinan från FireEye Inc. (CVE-2019-8066) 
  • Xu Peng och Su Purui från TCA/SKLCS Institute of Software Chinese Academy of Sciences och Codesafe Team från Legendsec vid Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031)
  • (A.K.) Karim Zidani, oberoende säkerhetsforskare; https://imAK.xyz/ (CVE-2019-8097)
  • Anonym i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie från Baidu Security Lab i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8035, CVE-2019-8257)
  • Wei Lei från STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi(@leeqwind) & Wang Lei(@CubestoneW) & Liao Bangjie(@b1acktrac3) från Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8012) 
  • Ke Liu från Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie från Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8014) 
  • Mat Powell från Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk från Google Project Zero (CVE -2019-8041, CVE -2019-8042, CVE -2019-8043, CVE -2019-8044, CVE -2019-8045, CVE -2019-8046, CVE -2019-8047, CVE -2019-8048, CVE -2019-8049, CVE -2019-8050, CVE -2019-8016, CVE -2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • Peternguyen i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun från Trend Micro Zero Day Initiative (CVE-2019-8027) 
  • Steven Seeley (mr_me) från Source Incite i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8019)
  • Steven Seeley (mr_me) från Source Incite i samarbete med iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) från Source Incite i samarbete med with iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu från Palo Alto Networks och Heige från Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao från Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai från Palo Alto Networks (CVE-2019-8025) 
  • Bit från STARLabs i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) från Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) från Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Revisioner

14 augusti 2019: En bekräftelse har lagts till för CVE-2019-8016 och CVE-2019-8017.

22 augusti 2019: Uppdaterat CVE-ID från CVE -2019-7832 till CVE -2019-8066.

26 september 2019: En bekräftelse har lagts till för CVE-2019-8060.

23 oktober 2019: Innehåller information om CVE-2019-8237.

19 november 2019: Innehåller information om CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 december 2019: Innehåller information om CVE-2019-8257.