Bezpečnostní bulletin společnosti Adobe
Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader | APSB20-13
ID bulletinu Datum zveřejnění Priorita
APSB20-13 17. března 2020 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickézávažné chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele. 


Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2020.006.20034 a starší verze  Windows a MacOS
Acrobat Reader DC Continuous  2020.006.20034 a starší verze 
Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30158 a starší verze  Windows a MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 a starší verze Windows a MacOS
       
Acrobat 2015  Classic 2015 2015.006.30510 a starší verze Windows a MacOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 a starší verze Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2020.006.20042 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows a macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows a macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows a macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Čtení mimo hranice   Neoprávněné zveřejnění informací   Důležitá   

CVE-2020-3804

CVE-2020-3806

Zápis mimo hranice
Svévolné spuštění kódu      Kritická CVE-2020-3795
Přetečení vyrovnávací paměti založené na zásobníku
Svévolné spuštění kódu      Kritická CVE-2020-3799

Chyba zabezpečení Use-after-free Svévolné spuštění kódu  Kritická

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Nevrácení paměti z určité adresy  
Neoprávněné zveřejnění informací  
Důležitá  
CVE-2020-3800
Přetečení vyrovnávací paměti
Svévolné spuštění kódu 
Kritická
CVE-2020-3807
Poškození paměti
Svévolné spuštění kódu 
Kritická
CVE-2020-3797
Nezabezpečené načítání knihovny (DLL hijacking)
Eskalace oprávnění
Důležitá  
CVE-2020-3803

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • hungtt28 ze společnosti Viettel Cyber Security ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2020-3802)
  • Huw Pigott ze společnosti Shearwater Solutions, což je společnost patřící společnosti CyberCX (CVE-2020-3803)
  • Duy Phan Thanh (bit) ze společnosti STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu ze společnosti Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy v rámci soutěže Tianfu Cup (CVE-2020-3793)
  • T Sung Ta (@Mipu94), SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang a Wei You, Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng a Su Purui z institutu TCA/SKLCS Institute of Software Chinese Academy of Sciences a Wang Yanhao z institutu QiAnXin Technology Research Institute (CVE-2020-3799)