Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB20-48
ID bulletinu Datum zveřejnění Priorita
APSB20-48 11. srpna 2020 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickézávažné chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele. 


Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2020.009.20074 a starší verze          
Windows a MacOS
Acrobat Reader DC Continuous  2020.009.20074 a starší verze          
Windows a MacOS
       
Acrobat 2020
Classic 2020           
2020.001.30002
Windows a MacOS
Acrobat Reader 2020
Classic 2020           
2020.001.30002
Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30171 a starší verze          
Windows a MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30171 a starší verze          
Windows a MacOS
       
Acrobat 2015  Classic 2015 2015.006.30523 a starší verze             
Windows a MacOS
Acrobat Reader 2015 Classic 2015 2015.006.30523 a starší verze             
Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2020.012.20041 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.012.20041
Windows a macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30005
Windows a macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30005
Windows a macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30175 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30175 Windows a macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30527 Windows a macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30527 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Poskytnutí citlivých dat
Únik paměti
Důležitá   

CVE-2020-9697

Překonání prvků zabezpečení 
Eskalace oprávnění 
Důležitá
CVE-2020-9714
Zápis mimo hranice Svévolné spuštění kódu          Kritická

CVE-2020-9693

CVE-2020-9694

Překonání prvků zabezpečení Obcházení bezpečnostních funkcí Kritická 

CVE-2020-9696

CVE-2020-9712

Stack exhaustion Útoky DoS na aplikace Důležitá

CVE-2020-9702

CVE-2020-9703

Čtení mimo hranice Poskytnutí informací Důležitá

CVE-2020-9723

CVE-2020-9705

CVE-2020-9706

CVE-2020-9707

CVE-2020-9710

CVE-2020-9716

CVE-2020-9717

CVE-2020-9718

CVE-2020-9719

CVE-2020-9720

CVE-2020-9721

Chyba vyrovnávací paměti Svévolné spuštění kódu          Kritická

CVE-2020-9698

CVE-2020-9699

CVE-2020-9700

CVE-2020-9701

CVE-2020-9704

Chyba zabezpečení Use-after-free    Svévolné spuštění kódu          Kritická

CVE-2020-9715

CVE-2020-9722

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Anonymní uživatel spolupracující s inciativou Trend Micro Zero Day Initiative (CVE-2020-9693, CVE-2020-9694) 
  • Steven Seeley z týmu Qihoo 360 Vulcan Team (CVE-2020-9723)
  • Abdul-Aziz Hariri z iniciativy Trend Micro Zero Day Initiative (CVE-2020-9697, CVE-2020-9706, CVE-2020-9707, CVE-2020-9710, CVE-2020-9712)
  • Csaba Fitzl (@theevilbit) ze společnosti Offensive Security spolupracující s laboratoří iDefense Labs (CVE-2020-9714)
  • Kyle Martin z North Carolina State University, Sung Ta Dinh z Arizona State University, Haehyun Cho z Arizona State University, Ruoyu „Fish“ Wang z Arizona State University a Alexandros Kapravelos z North Carolina State University (CVE-2020-9722)
  • Ken Hsu ze společnosti Palo Alto Networks. (CVE-2020-9695)
  • Zhangqing, Zhiyuan Wang a willJ z týmu cdsrc společnosti Qihoo 360 (CVE-2020-9716, CVE-2020-9717, CVE-2020-9718, CVE-2020-9719, CVE-2020-9720, CVE-2020-9721)
  • Mark Vincent Yason (@MarkYason) spolupracující s iniciativou Trend Micro Zero Day Initiative (CVE-2020-9715)
  • Xinyu Wan, Yiwei Zhang a Wei You z Renmin University of China (CVE-2020-9705, CVE-2020-9711, CVE-2020-9713)  
  • Xu Peng z TCA/SKLCS Institute of Software Chinese Academy of Sciences a Wang Yanhao z QiAnXin Technology Research Institute (CVE-2020-9698, CVE-2020-9699, CVE-2020-9700, CVE-2020-9701, CVE-2020-9702, CVE-2020-9703, CVE-2020-9704)
  • Yuebin Sun (@yuebinsun) z laboratoře Tencent Security Xuanwu Lab (CVE-2020-9696)