Adobe Acrobat ve Reader için Güvenlik Bülteni | APSB19-41
Bülten No Yayınlandığı Tarih Öncelik
APSB19-41 13 Ağustos 2019 2

Özet

Adobe, Windows ve MacOS için Adobe Acrobat ve Reader için güvenlik güncelleştirmeleri yayımladı. Bu güncellemeler önemli güvenlik açıklarını ele almaktadır. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.    

Etkilenen Sürümler

Bu güncellemeler, yazılımdaki önemli güvenlik açıklarını giderir. Adobe, bu güncellemelere aşağıdaki öncelik derecelerini atayacak:

Ürün Track Etkilenen Sürümler Platform
Acrobat DC  Continuous 

2019.012.20034 ve önceki sürümler  macOS
Acrobat DC  Continuous  2019.012.20035 ve önceki sürümler Windows
Acrobat Reader DC Continuous

2019.012.20034 ve önceki sürümler  macOS
Acrobat Reader DC Continuous  2019.012.20035 ve önceki sürümler  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 ve önceki sürümler   macOS
Acrobat DC  Classic 2017 2017.011.30143 ve önceki sürümler Windows
Acrobat Reader DC Classic 2017 2017.011.30142 ve önceki sürümler macOS
Acrobat Reader DC Classic 2017 2017.011.30143 ve önceki sürümler Windows
       
Acrobat DC  Classic 2015 2015.006.30497 ve önceki sürümler  macOS
Acrobat DC  Classic 2015 2015.006.30498 ve önceki sürümler Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 ve önceki sürümler  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 ve önceki sürümler Windows

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     

  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.      

  • Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.   

IT yöneticileri için (yönetilen ortamlar):     

  • Kuruluş yükleyicilerini ftp://ftp.adobe.com/pub/adobe/ adresinden indirin veya yükleyicilere olan bağlantılar için özel sürüm notu sürümüne bakın.

  • AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin. 

   

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Continuous 2019.012.20036 Windows ve macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows ve macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows ve macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows ve macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows ve macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows ve macOS 2

Windows

macOS

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası

Sınır Dışı Okuma   

 

 

Bilgilerin Açığa Çıkması   

 

 

Önemli   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Sınır Dışı Yazma   

 

 

Rastgele Kod Yürütme    

 

 

Önemli  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Komut Ekleme  Rastgele Kod Yürütme   Önemli  CVE-2019-8060

Use After Free Zafiyeti   

 

 

Rastgele Kod Yürütme     

 

 

Önemli 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Yığın Taşması 

 

 

Rastgele Kod Yürütme     

 

 

Önemli 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Arabellek Hatası  Rastgele Kod Yürütme       Önemli   CVE-2019-8048
Double Free  Rastgele Kod Yürütme      Önemli    CVE-2019-8044 
Tam Sayı Taşması Bilgilerin Açığa Çıkması Önemli 

CVE-2019-8099

CVE-2019-8101

Dahili IP Açıklaması Bilgilerin Açığa Çıkması Önemli  CVE-2019-8097
Tür Karışıklığı Rastgele Kod Yürütme   Önemli 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Güvenilmeyen İşaretçi Başvurusu

 

 

Rastgele Kod Yürütme 

 

 

Önemli 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Yeterince Sağlam Şifreleme Güvenlik özelliği atlatması Kritik CVE-2019-8237
Tür Karışıklığı Bilgilerin Açığa Çıkması Önemli

CVE-2019-8251

CVE-2019-8252

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:    

  • Dhanesh Kizhakkinan, FireEye Inc.(CVE-2019-8066) 
  • TCA / SKLCS Yazılım Enstitüsü Çin Bilimler Akademisi ve Legesec Codesafe Team'den Qi'anxin Group'taki Xu Peng ve Su Purui (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031)
  • (A.K.) Karim Zidani, Bağımsız Güvenlik Araştırmacısı ; https://imAK.xyz/ (CVE-2019-8097)
  • Trend Micro Zero Day Initiative ile birlikte anonim çalışma (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonim Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Trend Micro Zero Day Initiative ile çalışan Haikuo Xie of Baidu Security Lab (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei of STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind) ve Qihoo360 CoreSecurity (@ 360CoreSec)'in Wang Lei (@CubestoneW) ve Liao Bangjie (@ b1acktrac3) (CVE-2019-8012)
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie, Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • Trend Micro Zero Day Initiative ile çalışan ktkitty (https://ktkitty.github.io) (CVE-2019-8014) 
  • Mat Powell, Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk, Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)
  • Michael Bourque (CVE-2019-8007) 
  • Trend Micro Zero Day Initiative ile çalışan peternguyen (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun, Trend Micro Zero Day Initiative (CVE-2019-8027) 
  • Trend Micro Zero Day Initiative ile çalışan Steven Seeley (mr_me) of Source Incite (CVE-2019-8019) 
  • Defense Labs ile çalışan Steven Seeley (mr_me), Source Incite (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • Trend Micro Zero Day Initiative ile çalışan willJ (CVE-2019-8040, CVE-2019-8052) 
  • iDefense Labs ile çalışan Source Incite, Esteban Ruiz (mr_me) (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu, Palo Alto Networks ve Heige of Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao, Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai, Palo Alto Networks (CVE-2019-8025) 
  • Trend Micro Zero Day Initiative ile çalışan Bit, STARLabs (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01), Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me), Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Değişiklikler

14 Ağustos 2019: CVE-2019-8016 & CVE-2019-8017 için onay eklendi.

22 Ağustos 2019: CVE kimliği CVE-2019-7832'den CVE-2019-8066'ya güncellendi.

26 Eylül 2019: CVE-2019-8060 için onay eklendi.

23 Ekim 2019: CVE-2019-8237 hakkında ayrıntılar dahil edildi.

19 Kasım 2019: CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252 hakkında ayrıntılar dahil edildi

10 Aralık 2019: CVE-2019-8257 hakkında ayrıntılar dahil edildi.