当地时间2月12日,Adobe官方发布了2月安全更新,修复了其产品中的多个漏洞,包括Adobe Flash Player、Adobe Creative Cloud Desktop Application、ColdFusion、Adobe Acrobat and Reader。
漏洞概述
Adobe Flash Player
Adobe已发布适用于Windows,macOS,Linux和Chrome OS的Adobe Flash Player安全更新。成功利用可能导致当前用户的信息泄露。
漏洞概括如下:
漏洞影响 | 漏洞类型 | 严重程度 | CVE 编号 |
信息泄露 | 越界读取 | Important | CVE-2019-7090 |
- 受影响版本 <= 32.0.0.114
- 安全版本:
产品 | 版本 | 平台 |
Adobe Flash Player Desktop Runtime | 32.0.0.142 | Windows, macOS |
Adobe Flash Player for Google Chrome | 32.0.0.142 | Windows, macOS, Linux, and Chrome OS |
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 32.0.0.144 | Windows 10 and 8.1 |
Adobe Flash Player Desktop Runtime | 32.0.0.142 | Linux |
参考链接:
https://helpx.adobe.com/security/products/flash-player/apsb19-06.html
Adobe Creative Cloud Desktop Application
Adobe已发布适用于Windows的Creative Cloud Desktop Application安装程序的安全更新。此更新解决了安装程序中不安全的库加载漏洞,该漏洞可能导致权限升级。
漏洞概括如下:
漏洞影响 | 漏洞类型 | 严重程度 | CVE 编号 |
权限提升 | 不安全的库加载(DLL劫持) | Important | CVE-2019-7093 |
- 受影响版本:<= 4.7.0.400
- 安全版本:8.0.410
参考链接:
https://helpx.adobe.com/security/products/creative-cloud/apsb19-11.html
ColdFusion
Adobe已发布ColdFusion 2018,2016和11版本的安全更新,该更新解决了可能导致任意代码执行的严重漏洞。
漏洞概括如下:
漏洞影响 | 漏洞类型 | 严重程度 | CVE 编号 |
任意代码执行 | 不受信任数据的反序列化 | Critical | CVE-2019-7091 |
信息泄露 | 跨站脚本攻击 | Important | CVE-2019-7092 |
- 受影响版本:
产品 | 版本 | 平台 |
ColdFusion 2018 | <= Update 1 | 所有 |
ColdFusion 2016 | <= Update 7 | 所有 |
ColdFusion 11 | <= Update 15 | 所有 |
- 安全版本:
产品 | 版本 | 平台 |
ColdFusion 2018 | Update 2 | 所有 |
ColdFusion 2016 | Update 8 | 所有 |
ColdFusion 11 | Update 16 | 所有 |
参考链接:
https://helpx.adobe.com/security/products/coldfusion/apsb19-10.html
Adobe Acrobat and Reader
Adobe已发布适用于Windows和MacOS的Adobe Acrobat and Reader安全更新。
漏洞概括如下:
漏洞影响 | 漏洞类别 | 严重程度 | CVE 编号 |
任意代码执行 | 缓冲区错误 | Critical | CVE-2019-7020
CVE-2019-7085 |
信息泄露 | 敏感数据泄露 | Critical | CVE-2019-7089 |
任意代码执行 | 双重释放 | Critical | CVE-2019-7080 |
信息泄露 | 整型溢出 | Critical | CVE-2019-7030 |
信息泄露 |
越界读取 |
Important | CVE-2019-7021
CVE-2019-7022 CVE-2019-7023 CVE-2019-7024 CVE-2019-7028 CVE-2019-7032 CVE-2019-7033 CVE-2019-7034 CVE-2019-7035 CVE-2019-7036 CVE-2019-7038 CVE-2019-7045 CVE-2019-7047 CVE-2019-7049 CVE-2019-7053 CVE-2019-7055 CVE-2019-7056 CVE-2019-7057 CVE-2019-7058 CVE-2019-7059 CVE-2019-7063 CVE-2019-7064 CVE-2019-7065 CVE-2019-7067 CVE-2019-7071 CVE-2019-7073 CVE-2019-7074 CVE-2019-7081 |
权限提升 | 安全绕过 | Critical | CVE-2018-19725
CVE-2019-7041 |
任意代码执行 |
越界写入 |
Critical | CVE-2019-7019
CVE-2019-7027 CVE-2019-7037 CVE-2019-7039 CVE-2019-7052 CVE-2019-7060 CVE-2019-7079 |
任意代码执行 |
类型混淆 |
Critical | CVE-2019-7069
CVE-2019-7086 CVE-2019-7087 |
任意代码执行 |
不受信任的指针解引用 |
Critical | CVE-2019-7042
CVE-2019-7046 CVE-2019-7051 CVE-2019-7054 CVE-2019-7066 CVE-2019-7076 |
任意代码执行 |
释放后重用 |
Critical | CVE-2019-7018
CVE-2019-7025 CVE-2019-7026 CVE-2019-7029 CVE-2019-7031 CVE-2019-7040 CVE-2019-7043 CVE-2019-7044 CVE-2019-7048 CVE-2019-7050 CVE-2019-7062 CVE-2019-7068 CVE-2019-7070 CVE-2019-7072 CVE-2019-7075 CVE-2019-7077 CVE-2019-7078 CVE-2019-7082 CVE-2019-7083 CVE-2019-7084 |
- 受影响版本:
产品 | 版本 | 平台 |
Acrobat DC | <= 2019.010.20069 | Windows和macOS |
Acrobat Reader DC | <= 2019.010.20069 | Windows和macOS |
Acrobat 2017 | <= 2017.011.30113 | Windows和macOS |
Acrobat Reader 2017 | <= 2017.011.30113 | Windows和macOS |
- 安全版本:
产品 | 版本 | 平台 |
Acrobat DC | 2019.010.20091 | Windows和macOS |
Acrobat Reader DC | 2019.010.20091 | Windows和macOS |
Acrobat 2017 | 2017.011.30120 | Windows和macOS |
Acrobat Reader 2017 | 2017.011.30120 | Windows和macOS |
参考链接:
https://helpx.adobe.com/security/products/acrobat/apsb19-07.html
官方通告地址
解决方案
Adobe官方已经发布新版本修复了上述漏洞,用户应及时升级进行防护。
详细信息及操作可参考各产品漏洞部分的官方通告链接。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。