Adobe 安全公告
可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB20-13
公告 ID 发布日期 优先级
APSB20-13 2020 年 3 月 17 日 2

摘要

Adobe 发布了适用于 Windows 版和 macOS 版的 Adobe Acrobat 及 Reader 的安全更新。这些更新解决了关键漏洞和重要漏洞。成功利用这些漏洞可能导致当前用户上下文中的任意代码执行。


受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2020.006.20034 和更早版本  Windows 和 macOS
Acrobat Reader DC Continuous 2020.006.20034 和更早版本
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 和更早版本  Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 和更早版本 Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 和更早版本 Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 和更早版本 Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2020.006.20042 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
越界读取   信息泄露   重要   

CVE-2020-3804

CVE-2020-3806

越界写入
任意代码执行 关键 CVE-2020-3795
基于堆栈的缓冲区溢出
任意代码执行 关键 CVE-2020-3799

释放后重用 任意代码执行 关键

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

内存地址泄漏
信息泄露  
重要  
CVE-2020-3800
缓冲区溢出
任意代码执行 
关键
CVE-2020-3807
内存破坏
任意代码执行 
关键
CVE-2020-3797
不安全的库加载(DLL 劫持)
权限升级
重要  
CVE-2020-3803

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 来自 Viettel Cyber Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 hungtt28 (CVE-2020-3802)
  • 来自 CyberCX 公司 Shearwater Solutions 的 Huw Pigott(CVE-2020-3803)
  • 来自 STAR 实验室的 Duy Phan Thanh (bit)(CVE-2020-3800、CVE-2020-3801)
  • 来自腾讯安全玄武实验室的 Ke Liu(CVE-2020-3804、CVE-2020-3805)
  • 参与天府杯赛的 STARLabs @PTDuy (CVE-2020-3793)
  • 亚利桑那州立大学 SEFCOM 实验室的 T Sung Ta (@Mipu94) (CVE-2020-3792)
  • 来自中国人民大学的 Newiu Wan、Yiwei Zhang 和 Wei You(CVE-2020-3806、CVE-2020-3807、CVE-2020-3795、CVE-2020-3797)
  • 来自中国科学院软件研究所 TCA/SKLCS 的 Xu Peng 和来自奇安信技术研究院的 Wang Yanhao (CVE-2020-3799)