Adobe Acrobat 和 Reader 推出安全性更新 | APSB19-55
安全性公告 ID 發佈日期 優先順序
APSB19-55 2019 年 12 月 10 日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新可解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2019.021.20056 及更早版本 Windows 和 macOS
Acrobat Reader DC Continuous   2019.021.20056 及舊版  Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 及舊版 Windows 
Acrobat 2017 Classic 2017 2017.011.30155 及更早版本 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 及舊版 Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 及舊版 Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 及舊版 Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2019.021.20058 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍讀取   資訊揭露 重要 

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

超出範圍寫入  任意執行程式碼 重大

CVE-2019-16450

CVE-2019-16454

使用釋放後記憶體 (Use After Free) 任意執行程式碼 重大

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

堆積溢位  任意執行程式碼 重大 CVE-2019-16451
緩衝區錯誤 任意執行程式碼 重大 CVE-2019-16462
不信任的指標取值 任意執行程式碼 重大

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

二進位移植 (預設檔案夾權限竊取) 權限竊取 重要 CVE-2019-16444
安全性略過 任意執行程式碼 重大 CVE-2019-16453

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Google Project Zero 的 Mateusz Jurczyk 和趨勢科技零時差漏洞懸賞計畫的匿名人員 (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444)

  • 騰訊安全玄武實驗室的 Ke Liu。(CVE-2019-16445、CVE-2019-16449、CVE-2019-16450、CVE-2019-16454)

  • 亞利桑那州立大學 SEFCOM Lab 的 Sung Ta (@Mipu94) (CVE-2019-16446, CVE-2019-16448)

  • Cisco Talos 的 Aleksandar Nikolic (CVE-2019-16463)

  • HTBLA Leonding 的技術支援團隊 (CVE-2019-16453)

  • 百度安全實驗室的 Haikuo Xie (CVE-2019-16461)

  • STAR Labs 的 Bit (CVE-2019-16452)

  • 中國人民大學的 Xinyu Wan 和 Yiwei Zhang (CVE-2019-16455、CVE-2019-16460、CVE-2019-16462)

  • Palo Alto Networks 的 Bo Qu 以及知道創宇 404 安全團隊的 Heige (CVE-2019-16456)

  • Palo Alto Networks 的 Zhibin Zhang (CVE-2019-16457)

  • Palo Alto Networks 的 Qi Deng、Ken Hsu (CVE-2019-16458)

  • Palo Alto Networks 的 Lexuan Sun、Hao Cai (CVE-2019-16459)

  • Palo Alto Networks 的 Yue Guan、Haozhe Zhang (CVE-2019-16464)

  • Palo Alto Networks 的 Hui Gao (CVE-2019-16465)

  • Palo Alto Networks 的 Zhibin Zhang、Yue Guan (CVE-2019-16465)