可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB20-48
公告 ID 发布日期 优先级
APSB20-48 2020 年 8 月 11 日 2

摘要

Adobe 发布了适用于 Windows 版和 macOS 版的 Adobe Acrobat 及 Reader 的安全更新。这些更新解决了关键漏洞和重要漏洞。成功利用这些漏洞可能导致当前用户上下文中的任意代码执行。


受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2020.009.20074 及更早版本          
Windows 和 macOS
Acrobat Reader DC Continuous 2020.009.20074 及更早版本          
Windows 和 macOS
       
Acrobat 2020
Classic 2020           
2020.001.30002
Windows 和 macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30002
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30171 及更早版本          
Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30171 及更早版本          
Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30523 及更早版本             
Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30523 及更早版本             
Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2020.012.20041 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.012.20041
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30005
Windows 和 macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30005
Windows 和 macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30175 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30175 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30527 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30527 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
敏感数据泄露
内存泄露
重要   

CVE-2020-9697

安全旁路 
权限升级 
重要
CVE-2020-9714
越界写入 任意代码执行          关键 

CVE-2020-9693

CVE-2020-9694

安全旁路 安全功能旁路 关键 

CVE-2020-9696

CVE-2020-9712

堆栈耗尽 应用程序拒绝服务 重要

CVE-2020-9702

CVE-2020-9703

越界读取 信息泄露 重要

CVE-2020-9723

CVE-2020-9705

CVE-2020-9706

CVE-2020-9707

CVE-2020-9710

CVE-2020-9716

CVE-2020-9717

CVE-2020-9718

CVE-2020-9719

CVE-2020-9720

CVE-2020-9721

缓冲区错误 任意代码执行          关键 

CVE-2020-9698

CVE-2020-9699

CVE-2020-9700

CVE-2020-9701

CVE-2020-9704

释放后重用    任意代码执行          关键 

CVE-2020-9715

CVE-2020-9722

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 参与趋势科技“零日计划”(Zero Day Initiative) 的匿名人士(CVE-2020-9693、CVE-2020-9694)
  • 来自奇虎 360 科技有限公司 Vulcan 团队的 Steven Seeley (CVE-2020-9723)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Abdul-Aziz Hariri(CVE-2020-9697、CVE-2020-9706、CVE-2020-9707、CVE-2020-9710、CVE-2020-9712)
  • 来自 Offensive Security 公司并参与 iDefense Labs 的 Csaba Fitzl (@theevilbit) (CVE-2020-9714)
  • 来自北卡罗莱纳州立大学的 Kyle Martin,来自亚利桑那州立大学的 Sung Ta Dinh,来自亚利桑那州立大学的 Haehyun Cho,来自亚利桑那州立大学的 Ruoyu "Fish" Wang 以及来自北卡罗莱纳州立大学的 Alexandros Kapravelos (CVE-2020-9722)
  • 来自派拓网络的 Ken Hsu。(CVE-2020-9695)
  • 来自奇虎 360 科技有限公司成都安全应急响应中心的 Zhangqing、Zhiyuan Wang 和 willJ(CVE-2020-9716、CVE-2020-9717、CVE-2020-9718、CVE-2020-9719、CVE-2020-9720、CVE-2020-9721)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Mark Vincent Yason (@MarkYason) (CVE-2020-9715)
  • 来自中国人民大学的 Xinyu Wan、Yiwei Zhang 和 Wei You(CVE-2020-9705、CVE-2020-9711、CVE-2020-9713)
  • 来自中国科学院软件研究所 TCA/SKLCS 实验室的 Xu Peng 和来自奇安信技术研究院的 Wang Yanhao(CVE-2020-9698、CVE-2020-9699、CVE-2020-9700、CVE-2020-9701、CVE-2020-9702、CVE-2020-9703、CVE-2020-9704)
  • 来自腾讯安全玄武实验室的 Yuebin Sun(@yuebinsun) (CVE-2020-9696)