Bulletin-ID
Zuletzt aktualisiert am
8. Oktober 2024
Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB24-57
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB24-57 |
13. August 2024 |
3 |
Zusammenfassung
Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Dieses Update behebt kritische und wichtige Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code, der Ausweitung von Privilegien und Speicherlecks führen.
Adobe ist bekannt, dass für CVE-2024-39383 ein bekannter Machbarkeitsnachweis vorhanden ist, der zum Absturz von Adobe Acrobat und Reader führen könnte. Adobe ist nicht bekannt, dass dieses Problem tatsächlich ausgenutzt wird.
Betroffene Versionen
|
Überwachen |
Betroffene Versionen |
Plattform |
|
|
Acrobat DC |
Continuous |
24.002.20991 und frühere Versionen |
Windows und macOS |
|
Acrobat Reader DC |
Continuous |
24.002.20991 und frühere Versionen |
Windows und macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30123 und frühere Versionen |
Windows und macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30636 und frühere Versionen (Windows) |
Windows und macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30636 und frühere Versionen (Windows) |
Windows und macOS |
Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite Adobe Acrobat DC – Häufig gestellte Fragen.
Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite Acrobat Reader DC – Häufig gestellte Fragen.
Lösung
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.
Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein:
|
Überwachen |
Aktualisierte Versionen |
Plattform |
Priorität |
Verfügbarkeit |
|
|
Acrobat DC |
Continuous |
24.002.21005 |
Windows und macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.002.21005 |
Windows und macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30159 |
Windows und macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30655 |
Windows und macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30655 |
Windows und macOS |
3 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVSS-Basispunktzahl | CVSS-Vektor | CVE-Nummer |
| Nach kostenloser Version verwenden (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39383
|
| Nach kostenloser Version verwenden (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch | 8.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2013-3336 |
| Schreibvorgang außerhalb des gültigen Bereichs (CWE-787) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39423 |
| Nach kostenloser Version verwenden (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39424 |
| Unsachgemäße Überprüfung der kryptografischen Signatur (CWE-347) |
Berechtigungsausweitung |
Kritisch | 7.5 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39425 |
| Zugriff auf Speicherposition nach dem Pufferende (CWE-788) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39426 |
| Nach kostenloser Version verwenden (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41830 |
| Nach kostenloser Version verwenden (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41831 |
| Time-of-check Time-of-use (TOCTOU) Wettlaufsituation (CWE-367) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39420 |
| Gelesen außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust | Wichtig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-41832 |
| Gelesen außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust | Wichtig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41833 |
| Gelesen außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust | Wichtig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41834 |
| Gelesen außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust | Wichtig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41835 |
| Nach kostenloser Version verwenden (CWE-416) |
Speicherverlust | Wichtig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-45107 |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- Cisco Talos (ciscotalos) - CVE-2024-41830, CVE-2024-41832, CVE-2024-41835, CVE-2024-39420
- Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2024-39422, CVE-2024-39426, CVE-2024-41831, CVE-2024-41833, CVE-2024-41834, CVE-2024-45107
- Verteidigungstechnische Sicherheit – CVE-2024-39425
- Haifei Li von EXPMON und Check Point Research - CVE-2024-39383
- Mark Vincent Yason (markyason.github.io) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2024-39424
- Mat Powell von der Zero Day Initiative von Trend Micro – CVE-2024-39423
Überarbeitungen:
18. September 2024: Kommentar zu CVE-2024-39383 hinzugefügt
4. September 2024: CVE-2024-45107 hinzugefügt
3. September 2024: CVE-2024-39420 hinzugefügt
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
