Adobe Acrobat ve Reader için Güvenlik Bülteni | APSB19-18
Bülten No Yayınlandığı Tarih Öncelik
APSB19-18 14 Mayıs 2019 2

Özet

Adobe Windows ve macOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler kritik ve önemli güvenlik açıklarına yöneliktir.  Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.     

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform
Acrobat DC  Continuous 
2019.010.20100 ve önceki sürümler 
Windows ve macOS
Acrobat Reader DC Continuous
2019.010.20099 ve önceki sürümler Windows ve macOS
       
Acrobat 2017 Classic 2017 2017.011.30140 ve önceki sürüm Windows ve macOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 ve önceki sürüm Windows ve macOS
       
Acrobat DC  Classic 2015 2015.006.30495 ve önceki sürümler  Windows ve macOS
Acrobat Reader DC  Classic 2015 2015.006.30493 ve önceki sürümler  Windows ve macOS

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.
  • Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın.
  • İstediğiniz yöntem ile güncellemeleri kurun. Örneğin AIP-GPO, bootstrapper, SCUP/SCCM (Windows) veya macOS'ta, Apple Uzaktan Masaüstü ve SSH.

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Continuous 2019.012.20034 Windows ve macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows ve macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows ve macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows ve macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows ve macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows ve macOS 2

Windows

macOS

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Sınır Dışı Okuma  Bilgilerin Açığa Çıkması   Önemli  

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

Sınır Dışı Yazma Rastgele Kod Yürütme   Kritik   

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

Tür Karışıklığı   Rastgele Kod Yürütme   Kritik    CVE-2019-7820
Use After Free Zafiyeti   Rastgele Kod Yürütme   Kritik   

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

Yığın Taşması Rastgele Kod Yürütme   Kritik   

CVE-2019-7828

CVE-2019-7827

Arabellek Hatası Rastgele Kod Yürütme   Kritik CVE-2019-7824
Double Free Rastgele Kod Yürütme     Kritik  CVE-2019-7784
Güvenlik Baypası Rastgele Kod Yürütme  Kritik  CVE-2019-7779
Yol Geçişi Bilgilerin Açığa Çıkması   Önemli CVE-2019-8238

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:   

  •  Trend Micro Zero Day Initiative ile birlikte çalışan, TCA/SKLCS Institute of Software Chinese Academy of Sciences'tan Xu Peng ve Su Purui  (CVE-2019-7830, CVE-2019-7817)
  • Trend Micro Zero Day Initiative ile birlikte çalışan, Viettel Cyber Security'den hungtt28 (CVE-2019-7826, CVE-2019-7820) 

  • Trend Micro Zero Day Initiative ile birlikte çalışan Source Incite'dan Esteban Ruiz (mr_me) (CVE-2019-7825, CVE-2019-7822, CVE-2019-7821)

  • Trend Micro Zero Day Initiative ile birlikte çalışan Anonymous (CVE-2019-7824, CVE-2019-7823, CVE-2019-7797, CVE-2019-7759, CVE-2019-7758) 

  • Trend Micro Zero Day Initiative ile birlikte çalışan T3rmin4t0r (CVE-2019-7796)

  • Trend Micro Zero Day Initiative ile birlikte çalışan Ron Waisberg (CVE-2019-7794) 

  • Xudong Shao, Qihoo360 Vulcan Team (CVE-2019-7784)

  • Trend Micro Zero Day Initiative ile birlikte çalışan Peternguyen (CVE-2019-7814, CVE-2019-7760) 

  • Gal De Leon, Palo Alto Networks (CVE-2019-7762)

  • Aleksandar Nikolic, Cisco Talos (CVE-2019-7831, CVE-2019-7761) 

  • Trend Micro Zero Day Initiative ile birlikte çalışan hemidallt (CVE-2019-7809)

  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-7780, CVE-2019-7779, CVE-2019-7771, CVE-2019-7770, CVE-2019-7769, CVE-2019-7811, CVE-2019-7795, CVE-2019-7789, CVE-2019-7788) 

  • Trend Micro's Zero Day Initiative vasıtasıyla Steven Seeley (CVE-2019-7829, CVE-2019-7828, CVE-2019-7827, CVE-2019-7810, CVE-2019-7804, CVE-2019-7803, CVE-2019-7802, CVE-2019-7801, CVE-2019-7800, CVE-2019-7799, CVE-2019-7798, CVE-2019-7787, CVE-2019-7786, CVE-2019-7785, CVE-2019-7145, CVE-2019-7144, CVE-2019-7143, CVE-2019-7141, CVE-2019-7140)

  • Wei Lei, STARLabs (CVE-2019-7142) 

  • @j00sean (CVE-2019-7812, CVE-2019-7791, CVE-2019-7790)

  • Trend Micro Zero Day Initiative ile birlikte çalışan willJ (CVE-2019-7818) 

  • Qihoo360 Vulcan team'den Zhenjie Jia (CVE-2019-7813)

  • Zhibin Zhang, Palo Alto Networks (CVE-2019-7841, CVE-2019-7836, CVE-2019-7835, CVE-2019-7774, CVE-2019-7767) 

  • Bo Qu, Palo Alto Networks ve Heige of Knownsec 404 Security Team (CVE-2019-7773, CVE-2019-7766, CVE-2019-7764)

  • Qi Deng, Palo Alto Networks (CVE-2019-7834, CVE-2019-7833, CVE-2019-7832, CVE-2019-7772, CVE-2019-7768) 

  • Hui Gao, Palo Alto Networks (CVE-2019-7808, CVE-2019-7807, CVE-2019-7806)

  • Zhaoyan Xu, Palo Alto Networks (CVE-2019-7793, CVE-2019-7792, CVE-2019-7783) 

  • Zhanglin He, Palo Alto Networks (CVE-2019-7782, CVE-2019-7781, CVE-2019-7778, CVE-2019-7765)

  • Taojie Wang, Palo Alto Networks (CVE-2019-7777, CVE-2019-7776, CVE-2019-7775, CVE-2019-7763) 

  • Bağımsız bir Güvenlik Araştırmacısı bu güvenlik açığını SSD Güvenli Açıklama programına (CVE-2019-7805) bildirmiştir
  • iDefense Labs ile birlikte çalışan Source Incite'den Steven Seeley (mr_me) (CVE-2019- 7966, CVE-2019-7967)
  • Kevin Stoltz, CompuPlus, Inc. (CVE-2019-8238)

Değişiklikler

08 Temmuz 2019: Güncellenen Bildirimler bölümü

15 Ağustos 2019: CVE-2019-7966 ve CVE-2019-7967 hakkında detaylar eklendi

23 Ekim 2019: CVE-2019-8238 hakkında ayrıntılar dahil edildi.