Adobe Acrobat 和 Reader 的安全性更新已推出 | APSB19-07
安全性公告 ID 發佈日期 優先順序
APSB19-07 2019 年 2 月 12 日 2

摘要

Adobe 已發佈 Windows 和 MacOS 作業系統專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新旨在解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 
2019.010.20069 及更早版本 
Windows 和 macOS
Acrobat Reader DC Continuous
2019.010.20069 及更早版本 Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 及更早版本 Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 及更早版本 Windows 和 macOS
       
Acrobat DC  Classic 2015 2015.006.30464 及更早版本  Windows 和 macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 及更早版本  Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2019.010.20091 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows 和 macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows 和 macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows 和 macOS 2 Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
緩衝區錯誤 任意執行程式碼  重大 

CVE-2019-7020

CVE-2019-7085

資料外洩 (機密) 資訊揭露 重大  CVE-2019-7089
雙重釋放 任意執行程式碼  重大  CVE-2019-7080
整數溢位 資訊揭露 重大  CVE-2019-7030
超出範圍讀取 資訊揭露 重要

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074

CVE-2019-7081

安全性略過 權限竊取 重大 

CVE-2018-19725

CVE-2019-7041

超出範圍寫入 任意執行程式碼  重大 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

類型混淆 任意執行程式碼   重大

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

不信任的指標取值 任意執行程式碼    重大

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

使用釋放後記憶體 (Use After Free)  任意執行程式碼   重大 

CVE-2019-7018

CVE-2019-7025

CVE-2019-7026

CVE-2019-7029

CVE-2019-7031

CVE-2019-7040

CVE-2019-7043

CVE-2019-7044

CVE-2019-7048

CVE-2019-7050

CVE-2019-7062

CVE-2019-7068

CVE-2019-7070

CVE-2019-7072

CVE-2019-7075

CVE-2019-7077

CVE-2019-7078

CVE-2019-7082

CVE-2019-7083

CVE-2019-7084

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Sebastian Apelt (CVE-2019-7044、CVE-2019-7045、CVE-2019-7048)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Abdul-Aziz Hariri (CVE-2018-19725、CVE-2019-7041)

  • 奇虎 360 Vulcan 團隊的 Linan Hao 和 Zhenjie Jia (CVE-2019-7018、CVE-2019-7019、CVE-2019-7020、CVE-2019-7021、CVE-2019-7022、CVE-2019-7023、CVE-2019-7024、CVE-2019-7029)

  • iDefense Labs 合作的 @j00sean (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Cisco Talos 的 Aleksandar Nikolic(CVE-2019-7039)

  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2019-7077)

  • Palo Alto Networks 的 Gal De Leon (CVE-2019-7025)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Juan Pablo Lopez Yacubian (CVE-2019-7078)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 kdot (CVE-2019-7049)

  • 騰訊安全玄武實驗室的 Ke Liu (CVE-2019-7033、CVE-2019-7034、CVE-2019-7035、CVE-2019-7036、CVE-2019-7037、CVE-2019-7038、CVE-2019-7047)

  • 趨勢科技零時差漏洞懸賞計畫的 Mat Powell (CVE-2019-7071、CVE-2019-7072、CVE-2019-7073、CVE-2019-7074、CVE-2019-7075)

  • Check Point Research 的 Yoav Alon 和 Netanel Ben-Simon (CVE-2019-7080、CVE-2019-7081)

  • 透過趨勢科技零時差漏洞懸賞計畫回報的 Steven Seeley (CVE-2019-7069、CVE-2019-7070)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 T3rmin4t0r (CVE-2019-7042、CVE-2019-7043)

  • 與 iDefense Labs 合作的 Source Incite 站長 Steven Seeley (mr_me) (CVE-2019-7084、CVE-2019-7085、CVE-2019-7086、CVE-2019-7087)

  • 騰訊 Atuin 聯隊 (CVE-2019-7031、CVE-2019-7032)

  • 中國科學院軟體研究所 TCA/SKLCS 的 Xu Peng 和 Su Purui (CVE-2019-7076)

  • 奇虎 360 Vulcan 團隊的 Zhenjie Jia (CVE-2019-7062、CVE-2019-7063、CVE-2019-7064、CVE-2019-7067)

  • 與趨勢科技零時差漏洞懸賞計畫合作的奇虎 360 科技有限公司人員 Zhiyuan Wang (CVE-2019-7079)

  • Palo Alto Networks 的 Bo Qu 和知道創宇 404 安全團隊的 Heige (CVE-2019-7065、CVE-2019-7066、CVE-2019-7068)

  • Palo Alto Networks 的 Zhibin Zhang (CVE-2019-7026、CVE-2019-7027、CVE-2019-7028, CVE-2019-7082)

  • Palo Alto Networks 的 Qi Deng (CVE-2019-7046、CVE-2019-7050、CVE-2019-7051、CVE-2019-7083)

  • Palo Alto Networks 的 Hui Gao (CVE-2019-7052、CVE-2019-7053、CVE-2019-7054) 

  • Palo Alto Networks 的 Zhaoyan Xu (CVE-2019-7055、CVE-2019-7056、CVE-2019-7057)

  • Palo Alto Networks 的 Zhanglin He (CVE-2019-7058、CVE-2019-7059、CVE-2019-7060)