Adobe Acrobat ve Reader için güvenlik güncellemeleri mevcut | APSB19-49
Bülten No Yayınlandığı Tarih Öncelik
APSB19-49 15 Ekim 2019 2

Özet

Adobe, Windows ve MacOS için Adobe Acrobat ve Reader için güvenlik güncelleştirmeleri yayımladı. Bu güncellemeler kritik ve önemli güvenlik açıklarını ele almaktadır. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.    

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform
Acrobat DC  Continuous 

2019.012.20040 ve önceki sürümler  Windows & macOS
Acrobat Reader DC Continuous  2019.012.20040 ve önceki sürümler  Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 ve önceki sürümler   Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 ve önceki sürümler Windows & macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 ve önceki sürümler  Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 ve önceki sürümler Windows & macOS

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     

  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.      

  • Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.   

IT yöneticileri için (yönetilen ortamlar):     

  • Kuruluş yükleyicilerini ftp://ftp.adobe.com/pub/adobe/ adresinden indirin veya yükleyicilere olan bağlantılar için özel sürüm notu sürümüne bakın.

  • AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin. 

   

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Continuous 2019.021.20047 Windows ve macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows ve macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows ve macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows ve macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows ve macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows ve macOS 2

Windows

macOS

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Sınır Dışı Okuma   Bilgilerin Açığa Çıkması   Önemli   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Sınır Dışı Yazma  Rastgele Kod Yürütme    Kritik

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Use After Free Zafiyeti    Rastgele Kod Yürütme      Kritik

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Yığın Taşması  Rastgele Kod Yürütme      Kritik

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Arabellek Taşması Rastgele Kod Yürütme      Kritik CVE-2019-8166
Siteler Arası Betik Saldırısı  Bilgilerin Açığa Çıkması Önemli    CVE-2019-8160
Yarış Koşulları Rastgele Kod Yürütme   Kritik CVE-2019-8162
Güvenlik Mekanizmasının Eksik Uygulanması Bilgilerin Açığa Çıkması Önemli  CVE-2019-8226
Tür Karışıklığı Rastgele Kod Yürütme   Kritik

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Güvenilmeyen İşaretçi Başvurusu Rastgele Kod Yürütme  Kritik

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Arabellek Hataları Rastgele Kod Yürütme  Kritik CVE-2019-16470

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:    

  • Trend Micro Zero Day Initiative ile birlikte anonim çalışma (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Trend Micro Zero Day Initiative ile birlikte çalışan Baidu Security Lab için çalışan Haikuo Xie (CVE-2019-8209, CVE-2019-8223)
  • Trend Micro Zero Day Initiative ile birlikte çalışan Viettel Cyber Security'den hungtt28'i (CVE-2019-8204)
  • Trend Micro Zero Day Initiative ile birlikte çalışan Juan Pablo Lopez (CVE-2019-8172) 
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • Trend Micro Zero Day Initiative ile çalışan L4Nce (CVE-2019-8064)
  • Trend Micro Zero Day Initiative'den Mat Powell (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191),
  • Mateusz Jurczyk, Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • Trend Micro Zero Day Initiative ile çalışan peternguyen (CVE-2019-8176, CVE-2019-8224)
  • Trend Micro Zero Day Initiative ile birlikte çalışan Source Micro Spite'ten Steven Seeley (mr_me) (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Knownsec 404 Güvenlik Ekibi'nden Heige (http://www.knownsec.com/) (CVE-2019-8160)
  • Codemize Security Research Lab'den Xizsmin ve Lee JinYoung (CVE-2019-8218)
  • SEFCOM Lab, Arizona State University'den Mipu94 (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
  • f Source Incite'den Esteban Ruiz (mr_me) (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • STAR Labs'den Ta Dinh Sung (CVE-2019-8220, CVE-2019-8221)
  • Behzad Najjarpour Jabbari, Flexera'da Secunia Araştırması (CVE-2019-8222)
  • Cisco Talos'tan Aleksandar Nikolic. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89), Viettel Cyber Security (CVE-2019-8193)
  • QIhoo 360 Technology Co. Ltd.'in Chengdu Güvenlik Müdahale Merkezi'nden Zhiyuan Wang ve willJ (CVE-2019-8185, CVE-2019-8186)
  • Yangkang(@dnpushme) & Li Qi(@leeqwind) & Yang Jianxiong(@sinkland_), Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung, Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu of Palo Alto Networks ve Heige, Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang, Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • Trend Micro Zero Day Initiative ile birlikte çalışan peternguyen (meepwn ctf) (CVE-2019-8192, CVE-2019-8177)
  • Haikuo Xie, Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng, Qihoo 360 Core security & Jiadong Lu of South China University of Technology (CVE-2019-8162)
  • Zhangqing and Zhiyuan Wang, Qihoo 360 cdsrc (CVE-2019-16470)

Değişiklikler

11 Kasım 2019: CVE-2019-8195 ve CVE-2019-8196 için onay eklendi.

13 Şubat 2020: CVE-2019-16471, CVE-2019-16470 için onay eklendi.