可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB20-67
公告 ID 发布日期 优先级
APSB20-67 2020 年 11 月 3 日 2

摘要

Adobe 发布了适用于 Windows 版和 macOS 版的 Adobe Acrobat 及 Reader 的安全更新。这些更新解决关键重要中等的漏洞。成功利用这些漏洞可能导致当前用户上下文中的任意代码执行。


受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous 

2020.012.20048 及更早版本          
Windows 和 macOS
Acrobat Reader DC Continuous 2020.012.20048 及更早版本          
Windows 和 macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 及更早版本
Windows 和 macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 及更早版本
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 及更早版本          
Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 及更早版本          
Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参考特定的发行说明版本,以获取安装程序链接。

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品 追踪 更新后的版本 平台 优先级 获取途径
Acrobat DC Continuous 2020.013.20064 Windows 和 macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows 和 macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows 和 macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows 和 macOS 2

Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
基于堆的缓冲区溢出
任意代码执行           
关键 

CVE-2020-24435

访问控制不当 本地特权升级 
重要
CVE-2020-24433
不当的输入验证 任意 JavaScript 执行
重要
CVE-2020-24432
绕过签名验证
最小(深度防御修复)
中等
CVE-2020-24439
绕过签名验证 本地特权升级
重要 
CVE-2020-24429
不当的输入验证 信息泄露   
重要 
CVE-2020-24427
安全功能旁路 动态库注入
重要 
CVE-2020-24431
越界写入   
任意代码执行       
关键 
CVE-2020-24436
越界读取   
信息泄露   
中等

CVE-2020-24426

CVE-2020-24434

争用情况 本地特权升级
重要 
CVE-2020-24428
释放后重用     
任意代码执行       
关键 

CVE-2020-24430

CVE-2020-24437

释放后重用
信息泄露
中等
CVE-2020-24438

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:    

  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Kimiya(CVE-2020-24434、CVE-2020-24436)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Mark Vincent Yason (@MarkYason)(CVE-2020-24426、CVE-2020-24438)
  • 来自腾讯安全玄武实验室的 Yuebin Sun(@yuebinsun) (CVE-2020-24439)
  • 来自 Computest Research Division 的 Thijs Alkemade(CVE-2020-24428、CVE-2020-24429)
  • 来自 Danish Cyber Defense 的 Lasse Trolle Borup (CVE-2020-24433)
  • 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic(CVE-2020-24435、CVE-2020-24437)
  • Haboob Labs。(CVE-2020-24427)
  • 来自 Qihoo 360 CERT 的 Hou JingYi (@hjy79425575) (CVE-2020-24431)
  • 来自 STAR Labs 的 Alan Chang Enze (CVE-2020-24430)
  • 来自 Ruhr University Bochum 的负责网络和数据安全的 Vladislav Mladenov、Christian Mainka 和 Jörg Schwenk (CVE-2020-24432)