Adobe Acrobat 和 Reader 的安全性公告 | APSB19-18
安全性公告 ID 發佈日期 優先順序
APSB19-18 2019年5月14日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。     

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 
2019.010.20100 及更早版本 
Windows 和 macOS
Acrobat Reader DC Continuous
2019.010.20099 及更早版本 Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30140 及更早版本 Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30138 及更早版本 Windows 和 macOS
       
Acrobat DC  Classic 2015 2015.006.30495 及更早版本 Windows 和 macOS
Acrobat Reader DC  Classic 2015 2015.006.30493 及更早版本 Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
  • 偵測到更新時,產品會自動更新,使用者無須操作。
  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2019.012.20034 Windows 和 macOS 2

Windows


macOS

Acrobat Reader DC Continuous 2019.012.20034
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30142 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC 2017 Classic 2017 2017.011.30142 Windows 和 macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30497 Windows 和 macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30497 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍讀取  資訊揭露 重要

CVE-2019-7841

CVE-2019-7836

CVE-2019-7826

CVE-2019-7813

CVE-2019-7812

CVE-2019-7811

CVE-2019-7810

CVE-2019-7803

CVE-2019-7802

CVE-2019-7801

CVE-2019-7799

CVE-2019-7798

CVE-2019-7795

CVE-2019-7794

CVE-2019-7793

CVE-2019-7790

CVE-2019-7789

CVE-2019-7787

CVE-2019-7780

CVE-2019-7778

CVE-2019-7777

CVE-2019-7776

CVE-2019-7775

CVE-2019-7774

CVE-2019-7773

CVE-2019-7771

CVE-2019-7770

CVE-2019-7769

CVE-2019-7758

CVE-2019-7145

CVE-2019-7144

CVE-2019-7143

CVE-2019-7142

CVE-2019-7141

CVE-2019-7140

CVE-2019-7966

超出範圍寫入 任意執行程式碼 重大

CVE-2019-7829

CVE-2019-7825

CVE-2019-7822

CVE-2019-7818

CVE-2019-7804

CVE-2019-7800

CVE-2019-7967

類型混淆   任意執行程式碼 重大 CVE-2019-7820
使用釋放後記憶體 (Use After Free) 任意執行程式碼 重大

CVE-2019-7835

CVE-2019-7834

CVE-2019-7833

CVE-2019-7832

CVE-2019-7831

CVE-2019-7830

CVE-2019-7823

CVE-2019-7821

CVE-2019-7817

CVE-2019-7814

CVE-2019-7809

CVE-2019-7808

CVE-2019-7807

CVE-2019-7806

CVE-2019-7805

CVE-2019-7797

CVE-2019-7796

CVE-2019-7792

CVE-2019-7791

CVE-2019-7788

CVE-2019-7786

CVE-2019-7785

CVE-2019-7783

CVE-2019-7782

CVE-2019-7781

CVE-2019-7772

CVE-2019-7768

CVE-2019-7767

CVE-2019-7766

CVE-2019-7765

CVE-2019-7764

CVE-2019-7763

CVE-2019-7762

CVE-2019-7761

CVE-2019-7760

CVE-2019-7759

堆積溢位 任意執行程式碼 重大

CVE-2019-7828

CVE-2019-7827

緩衝區錯誤 任意執行程式碼 重大 CVE-2019-7824
雙重釋放 任意執行程式碼 重大 CVE-2019-7784
安全性略過 任意執行程式碼 重大 CVE-2019-7779
造訪路徑 資訊揭露   重要 CVE-2019-8238

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  •  來自中國科學院軟體研究所 TCA/SKLCS 並與趨勢科技零時差漏洞懸賞計畫合作的 Xu Peng 和 Su Purui (CVE-2019-7830、CVE-2019-7817)
  • 來自 Viettel Cyber Security 並與趨勢科技零時差漏洞懸賞計畫合作的 hungtt28 (CVE-2019-7826、CVE-2019-7820)

  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Esteban Ruiz (mr_me) (CVE-2019-7825、CVE-2019-7822、CVE-2019-7821)

  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2019-7824、CVE-2019-7823、CVE-2019-7797、CVE-2019-7759、CVE-2019-7758)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 T3rmin4t0r (CVE-2019-7796)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Ron Waisberg (CVE-2019-7794)

  • 奇虎 360 Vulcan 團隊的 Xudong Shao (CVE-2019-7784)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Peternguyen (CVE-2019-7814、CVE-2019-7760)

  • Palo Alto Networks 的 Gal De Leon (CVE-2019-7762)

  • Cisco Talos 的 Aleksandar Nikolic (CVE-2019-7831、CVE-2019-7761)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 hemidallt (CVE-2019-7809)

  • 騰訊安全性玄武實驗室的 Ke Liu (CVE-2019-7780、CVE-2019-7779、CVE-2019-7771、CVE-2019-7770、CVE-2019-7769、CVE-2019-7811、CVE-2019-7795、CVE-2019-7789、CVE-2019-7788)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (CVE-2019-7829、CVE-2019-7828、CVE-2019-7827、CVE-2019-7810、CVE-2019-7804、CVE-2019-7803、CVE-2019-7802、CVE-2019-7801、CVE-2019-7800、CVE-2019-7799、CVE-2019-7798、CVE-2019-7787、CVE-2019-7786、CVE-2019-7785、CVE-2019-7145、CVE-2019-7144、CVE-2019-7143、CVE-2019-7141、CVE-2019-7140)

  • STARLabs 的 Wei Lei (CVE-2019-7142) 

  • @j00sean (CVE-2019-7812、CVE-2019-7791、CVE-2019-7790)

  • 與趨勢科技零時差漏洞懸賞計畫合作的 willJ (CVE-2019-7818)

  • 奇虎 360 Vulcan 團隊的 Zhenjie Jia (CVE-2019-7813)

  • Palo Alto Networks 的 Zhibin Zhang (CVE-2019-7841、CVE-2019-7836、CVE-2019-7835, CVE-2019-7774、CVE-2019-7767)

  • Palo Alto Networks 的 Bo Qu 和知道創宇 404 安全團隊的 Heige (CVE-2019-7773、CVE-2019-7766、CVE-2019-7764)

  • Palo Alto Networks 的 Qi Deng (CVE-2019-7834、CVE-2019-7833、CVE-2019-7832、CVE-2019-7772、CVE-2019-7768)

  • Palo Alto Networks 的 Hui Gao (CVE-2019-7808、CVE-2019-7807、CVE-2019-7806)

  • Palo Alto Networks 的 Zhaoyan Xu (CVE-2019-7793、CVE-2019-7792、CVE-2019-7783)

  • Palo Alto Networks 的 Zhanglin He (CVE-2019-7782、CVE-2019-7781、CVE-2019-7778、CVE-2019-7765)

  • Palo Alto Networks 的 Taojie Wang (CVE-2019-7777、CVE-2019-7776、CVE-2019-7775、CVE-2019-7763)

  • 一名獨立安全研究者向 SSD Secure Disclosure 計畫回報此弱點 (CVE-2019-7805)
  • iDefense Labs 合作的 Source Incite 站長 Steven Seeley (mr_me) (CVE-2019- 7966、CVE-2019-7967)
  • CompuPlus, Inc. 的 Kevin Stoltz (CVE-2019-8238)

修訂

2019 年 7 月 8 日:更新「鳴謝」部分

2019 年 8 月 15 日:加入 CVE-2019-7966 和 CVE-2019-7967 的詳細資訊。

2019 年 10 月 23 日:加入 CVE-2019-8238 的詳細資訊。