Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB20-67
ID bulletinu Datum zveřejnění Priorita
APSB20-67 3. listopadu 2020 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickézávažné a středně závažné chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele. 


Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Continuous 

2020.012.20048 a starší verze          
Windows a MacOS
Acrobat Reader DC Continuous  2020.012.20048 a starší verze          
Windows a MacOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 a starší verze
Windows a MacOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 a starší verze
Windows a MacOS
       
Acrobat 2017 Classic 2017 2017.011.30175 a starší verze          
Windows a MacOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 a starší verze          
Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.     

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Continuous 2020.013.20064 Windows a macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows a macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows a macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows a macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows a macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows a macOS 2

Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Přetečení vyrovnávací paměti na haldě
Svévolné spuštění kódu           
Kritická 

CVE-2020-24435

Nesprávné řízení přístupu Eskalace místních práv 
Důležitá
CVE-2020-24433
Nesprávné ověření vstupu Svévolné spuštění kódu JavaScript
Důležitá
CVE-2020-24432
Obejití ověření podpisu
Minimální (oprava hloubkové obrany)
Střední
CVE-2020-24439
Obejití ověření podpisu Eskalace místních práv
Důležitá 
CVE-2020-24429
Nesprávné ověření vstupu Neoprávněné zveřejnění informací   
Důležitá 
CVE-2020-24427
Obcházení bezpečnostních funkcí Injekce dynamické knihovny
Důležitá 
CVE-2020-24431
Zápis mimo hranice   
Svévolné spuštění kódu       
Kritická 
CVE-2020-24436
Čtení mimo hranice   
Neoprávněné zveřejnění informací   
Střední

CVE-2020-24426

CVE-2020-24434

Konflikt časování Eskalace místních práv
Důležitá 
CVE-2020-24428
Chyba zabezpečení Use-after-free     
Svévolné spuštění kódu       
Kritická 

CVE-2020-24430

CVE-2020-24437

Chyba zabezpečení Use-after-free
Neoprávněné zveřejnění informací
Střední
CVE-2020-24438

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:    

  • Kimiya spolupracující s iniciativou Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) spolupracující s iniciativou Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun (@yuebinsun) z laboratoře Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade z výzkumné divize společnosti Computest (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup ze společnosti Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.(CVE-2020-24427)
  • Hou JingYi (@hjy79425575) z týmu Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze ze společnosti STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka a Jörg Schwenk z katedry pro zabezpečení sítě a dat na Rúrské univerzitě v Bochumi (CVE-2020-24432)