Бюллетень безопасности Adobe

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены важные уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.    

Затронутые версии

В этих обновлениях исправлены важные уязвимости программного обеспечения. Компания Adobe назначит следующие рейтинги приоритетов для этих обновлений:

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

• Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

• При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

• Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

• Загрузите установщики для предприятий с https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

• Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Сведения об уязвимости

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

• Дханеж Кижакинан, FireEye Inc. (CVE-2019-8066) 
• Сюй Пэн и Су Пужуй из Института программного обеспечения TCA/SKLCS при Китайской академии наук и рабочая группа Codesafe Team of Legendsec в составе Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
• (A.K.) Карим Зидани, независимый исследователь в области безопасности; https://imAK.xyz/ (CVE-2019-8097)
• Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2019-8033, CVE-2019-8037)
• BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
• Хайко Се, Baidu Security Lab, участник программы Trend Micro Zero Day Initiative (CVE-2019-8035, CVE-2019-8257)
• Вэй Лэй, STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011)
• Ли Ци (@leeqwind) и Ван Лэй (@CubestoneW) и Ляо Банцзе (@b1acktrac3), Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 
• Кэ Лю, Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
• Хайко Се, Baidu Security Lab (CVE-2019-8032, CVE-2019-8036)
• ktkitty (https://ktkitty.github.io), участник программы Trend Micro Zero Day Initiative (CVE-2019-8014) 
• Мат Пауэлл, участник программы Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059)
• Матеуш юржик, Google project zero (CVE -2019-8041 -2019-8043 -2019-8042, CVE-, CVE-, CVE-, CVE-, CVE -2019-8045 -2019-8044 -2019-8046 -2019-8048 -2019-8047, CVE-, CVE-, CVE-, CVE-, CVE -2019-8050 -2019-8049 -2019-8016, CVE -2019-8017) 
• Мишель Бурке (CVE-2019-8007)
• peternguyen, участник программы Trend Micro Zero Day Initiative (CVE-2019-8013, CVE-2019-8034) 
• Саймон Цукербраун, участник программы Trend Micro Zero Day Initiative (CVE-2019-8027) 
• Стивен Сили (mr_me), Source Incite, участник программы Trend Micro Zero Day Initiative (CVE-2019-8019)
• Стивен Сили (mr_me), Source Incite, сотрудничающий с iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
• willJ, участник программы Trend Micro Zero Day Initiative (CVE-2019-8040, CVE-2019-8052) 
• Эстебан Руиз (mr_me), Source Incite. в рамках сотрудничества с iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 
• Бо Ку Palo Alto Networks и Heige of Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
• Чжаоянь Сюй, Хуэй Гао, Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
• Лэсюань Сунь, Хао Цай, Palo Alto Networks (CVE-2019-8025) 
• Бит из STARLabs, участник программы Trend Micro Zero Day Initiative (CVE-2019-8038, CVE-2019-8039)
• Чжунчэн Ли (CK01), рабочая группа Topsec Alpha (CVE-2019-8060)
• Йенс Мюллер (CVE-2019-8237)
• Стивен Сили (mr_me), Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Редакции

14 августа 2019 г.: добавлена благодарность за CVE-2019-8016 и CVE-2019-8017.

22 Августа 2019 г.: Обновленный идентификатор номера из CVE -2019-7832 CVE -2019-8066.

26 сентября 2019 г.: добавлена благодарность за CVE-2019-8060.

23 октября 2019 г.: добавлены сведения об уязвимости CVE-2019-8237.

19 ноября 2019 г.: добавлены сведения об уязвимостях CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 декабря 2019 г.: добавлены сведения об уязвимости CVE-2019-8257.