Säkerhetsuppdateringar för Adobe Acrobat och Reader | APSB19-49
Bulletin-ID Publiceringsdatum Prioritet
APSB19-49 den 15 oktober 2019 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar kritiska och viktiga säkerhetsluckor. Exploatering kan leda till exekvering av godtycklig kod i snabbmenyn för den aktuella användaren.    

Berörda versioner

Produkt Spår Berörda versioner Plattform
Acrobat DC  Continuous 

2019.012.20040 och tidigare versioner  Windows och macOS
Acrobat Reader DC Continuous  2019.012.20040 och tidigare versioner  Windows och macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 och tidigare versioner   Windows och macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 och tidigare versioner Windows och macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 och tidigare versioner  Windows och macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 och tidigare versioner Windows och macOS

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Produkt Spår Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC Continuous 2019.021.20047 Windows och macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows och macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows och macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows och macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows och macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows och macOS 2

Windows

macOS

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Överskridning av läsningsgränser   Informations exponering   Viktigt   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Överskridning av skrivningsgränser  Exekvering av godtycklig kod    Kritisk

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Användning efter frigöring    Exekvering av godtycklig kod      Kritisk

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Stackfel  Exekvering av godtycklig kod      Kritisk

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Buffertöverskridning Exekvering av godtycklig kod      Kritisk CVE-2019-8166
Serveröverskridande skriptattacker  Informationsexponering Viktigt    CVE-2019-8160
Konkurrenstillstånd Exekvering av godtycklig kod   Kritisk CVE-2019-8162
Ofullständigt införande av säkerhetsmekanismen Informationsexponering Viktigt  CVE-2019-8226
Typförväxling Exekvering av godtycklig kod   Kritisk

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Ej tillförlitlig pekaravreferering Exekvering av godtycklig kod  Kritisk

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Buffertfel Exekvering av godtycklig kod  Kritisk CVE-2019-16470

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:    

  • Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie från Baidu Security Lab i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8209 CVE-2019-8223)
  • hungtt28 från Viettel Cyber Security i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8172) 
  • Ke Liu från Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8064) 
  • Mat Powell från Trend Micro Zero Day Initiative (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019 -8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-81 63, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk från Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) på Source Incite i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige från Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin och Lee JinYoung från Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 från SEFCOM Lab, Arizona State University (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) från Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung från STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research hos Flexera (CVE-2019-8222)
  • Aleksandar Nikolic från Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) från Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang och willJ från Chengdu Security Response Center hos Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang (@dnpushme) och Li Qi (@leeqwind) och Yang Jianxiong (@sinkland_) från Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung från Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu från Palo Alto Networks och Heige från Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang från Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) i samarbete med Trend Micro Zero Day Initiative (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie från Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng från Qihoo 360 Core Security och Jiadong Lu från South China University of Technology (CVE-2019-8162)
  • Zhangqing och Zhiyuan Wang från cdsrc of Qihoo 360 (CVE-2019-16470)

Revisioner

11 november 2019: En bekräftelse har lagts till för CVE-2019-8195 och CVE-2019-8196.

13 februari 2020: Bekräftelse har lagts till för CVE-2019-16471, CVE-2019-16470.