ID do boletim
Última atualização em
8 de out de 2024
Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB24-57
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB24-57 |
13 de agosto de 2024 |
3 |
Resumo
A Adobe lançou uma atualização de segurança para o Adobe Acrobat e Reader para Windows e macOS. Esta atualização processa vulnerabilidades críticas e importantes. A exploração bem sucedida poderia levar à execução de código arbitrário, escalonamento de privilégios e vazamento de memória.
A Adobe está ciente de que o CVE-2024-39383 tem uma prova de conceito conhecida que pode causar o travamento do Adobe Acrobat e do Reader. A Adobe não está ciente de que esse problema esteja sendo explorado na Web.
Versões afetadas
|
Track |
Versões afetadas |
Plataforma |
|
|
Acrobat DC |
Continuous |
24.002.20991 e versões anteriores |
Windows e macOS |
|
Acrobat Reader DC |
Continuous |
24.002.20991 e versões anteriores |
Windows e macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30123 e versões anteriores |
Windows e macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30636 e versões anteriores (Windows) |
Windows e macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30636 e versões anteriores (Windows) |
Windows e macOS |
Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC.
Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
Consulte a versão específica da nota de versão para links para instaladores.
Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:
|
Track |
Versões atualizadas |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|
|
Acrobat DC |
Continuous |
24.002.21005 |
Windows e macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.002.21005 |
Windows e macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30159 |
Windows e macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30655 |
Windows e macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30655 |
Windows e macOS |
3 |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS | Vetor CVSS | Número CVE |
| Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39383
|
| Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 8.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2024-39422 |
| Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39423 |
| Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39424 |
| Verificação incorreta da assinatura criptográfica (CWE-347) |
Escalonamento de privilégio |
Crítico | 7.5 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39425 |
| Acesso ao local da memória após o fim do buffer (CWE-788) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39426 |
| Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41830 |
| Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41831 |
| Condição de corrida de tempo de verificação/tempo de uso (Time-of-check Time-of-use, TOCTOU) (CWE-367) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39420 |
| Leitura fora dos limites (CWE-125) |
Vazamento de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-41832 |
| Leitura fora dos limites (CWE-125) |
Vazamento de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41833 |
| Leitura fora dos limites (CWE-125) |
Vazamento de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41834 |
| Leitura fora dos limites (CWE-125) |
Vazamento de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41835 |
| Usar após período gratuito (CWE-416) |
Vazamento de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-45107 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Cisco Talos (ciscotalos) – CVE-2024-41830, CVE-2024-41832, CVE-2024-41835, CVE-2024-39420
- Anônimo trabalhando com a Zero Day Initiative da Trend Micro – CVE-2024-39422, CVE-2024-39426, CVE-2024-41831, CVE-2024-41833, CVE-2024-41834, CVE-2024-45107
- Segurança técnica de defesa – CVE-2024-39425
- Haifei Li da EXPMON e Check Point Research – CVE-2024-39383
- Mark Vincent Yason (markyason.github.io) trabalhando com a Zero Day Initiative da Trend Micro – CVE-2024-39424
- Mat Powell, da Zero Day Initiative da Trend Micro - CVE-2024-39423
Revisões:
18 de setembro de 2024: Adicionado comentário sobre o CVE-2024-39383
4 de setembro de 2024: Adicionado CVE-2024-45107
3 de setembro de 2024: Adicionado CVE-2024-39420
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
