Bezpečnostní bulletin společnosti Adobe
Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader | APSB20-05
ID bulletinu Datum zveřejnění Priorita
APSB20-05 11. února 2020 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickézávažné a středně závažné chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele. 


Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2019.021.20061 a starší verze  Windows a MacOS
Acrobat Reader DC Continuous   2019.021.20061 a starší verze  Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30156 a starší verze  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 a starší verze macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 a starší verze Windows a MacOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 a starší verze Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2020.006.20034 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows a macOS 2

Systém Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows a macOS 2

Systém Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows a macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Čtení mimo hranice   Neoprávněné zveřejnění informací   Důležitá   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Přetečení haldy  Svévolné spuštění kódu      Kritická CVE-2020-3742
Chyba vyrovnávací paměti Svévolné spuštění kódu      Kritická

CVE-2020-3752

CVE-2020-3754    

Použití paměti po uvolnění Svévolné spuštění kódu  Kritická

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Vyčerpání zásobníku    
Únik paměti    
Střední    

CVE-2020-3753  

CVE-2020-3756  

Eskalace oprávnění Nahodilý zápis do souborového systému Kritická

CVE-2020-3762

CVE-2020-3763

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Zhiyuan Wang a willJ z centra Chengdu Security Response Center společnosti Qihoo 360 Technology Co. Ltd. (CVE-2020-3747)
  • Ke Liu z laboratoře Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang a Wei You z univerzity Renmin University of China (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Xu Peng a Su Purui ze Softwarového institutu TCA/SKLCS Čínské akademie věd ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2020-3748)
  • Aleksandar Nikolic ze společnosti Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haiku Xie, Baidu Security Lab. (CVE-2020- 3756, CVE-2020-3753)
  • Sooraj K S (@soorajks), McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) spolupracující se společností iDefense Labs (CVE-2020-3762, CVE-2020-3763)