Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB20-05
ID bollettino Data di pubblicazione Priorità
APSB20-05 11 febbraio 2020 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità criticheimportanti e moderate. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente. 


Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2019.021.20061 e versioni precedenti  Windows e macOS
Acrobat Reader DC Continuous   2019.021.20061 e versioni precedenti  Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 e versioni precedenti  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 e versioni precedenti macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 e versioni precedenti Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 e versioni precedenti Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2020.006.20034 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Lettura fuori limite   Divulgazione di informazioni   Importante   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Sovraccarico dell'heap  Esecuzione di codice arbitrario      Critica CVE-2020-3742
Errore buffer Esecuzione di codice arbitrario      Critica

CVE-2020-3752

CVE-2020-3754    

Use-after-free Esecuzione di codice arbitrario  Critica

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Esaurimento dello stack    
Perdita di memoria    
Moderato    

CVE-2020-3753  

CVE-2020-3756  

Acquisizione illecita di privilegi Scrittura di file system arbitraria Critica

CVE-2020-3762

CVE-2020-3763

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Zhiyuan Wang e willJ di Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. (CVE-2020-3747)
  • Ke Liu del Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang e Wei You della Renmin University of China (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Xu Peng e Su Purui di TCA/SKLCS Institute of Software Chinese Academy of Sciences in collaborazione con la Trend Micro Zero Day Initiative (CVE-2020-3748)
  • Aleksandar Nikolic di Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haiku Xie of Baidu Security Lab. (CVE-2020-3756, CVE-2020-3753)
  • Sooraj K S (@soorajks) di McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) in collaborazione con iDefense Labs (CVE-2020-3762, CVE-2020-3763)