Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB20-05
Bulletin-ID Veröffentlichungsdatum Priorität
APSB20-05 11. Februar 2020 2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische, wichtige und moderate Schwachstellen. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen. 


Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 

2019.021.20061 und frühere Versionen  Windows und macOS
Acrobat Reader DC Continuous   2019.021.20061 und frühere Versionen  Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30156  und frühere Versionen  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156  und frühere Versionen macOS
       
Acrobat 2015  Classic 2015 2015.006.30508  und frühere Versionen Windows und macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508  und frühere Versionen Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2020.006.20034 Windows und macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows und macOS 2

Windows 


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows und macOS 2

Windows 

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows und macOS 2

Windows 

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Lesevorgang außerhalb des gültigen Bereichs   Offenlegung von Informationen   Wichtig   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Heap-Überlauf  Willkürliche Ausführung von Code      Kritisch CVE-2020-3742
Pufferfehler Willkürliche Ausführung von Code      Kritisch

CVE-2020-3752

CVE-2020-3754    

Use After Free Willkürliche Ausführung von Code  Kritisch

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Stapelauslastung    
Speicherverlust    
Mittel    

CVE-2020-3753  

CVE-2020-3756  

Berechtigungsausweitung Willkürlicher Dateisystem-Schreibzugriff Kritisch

CVE-2020-3762

CVE-2020-3763

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:    

  • Zhiyuan Wang und willJ vom Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. (CVE-2020-3747)
  • Ke Liu vom Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang und Wei You von der Renmin University of China (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Xu Peng und Su Purui vom TCA/SKLCS Institute of Software der Chinese Academy of Sciences in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2020-3748)
  • Aleksandar Nikolic von Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haiku Xie vom Baidu Security Lab. (CVE-2020-3756, CVE-2020-3753)
  • Sooraj K S (@soorajks) von McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) in Zusammenarbeit mit iDefense Labs (CVE-2020-3762, CVE-2020-3763)