Adobe-Sicherheitsbulletin für Adobe Acrobat und Reader | APSB20-13
Bulletin-ID Veröffentlichungsdatum Priorität
APSB20-13 17. März 2020 2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen. 


Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 

2020.006.20034 und frühere Versionen  Windows und macOS
Acrobat Reader DC Continuous  2020.006.20034 und früher 
Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30158  und frühere Versionen  Windows und macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 und frühere Versionen Windows und macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 und frühere Versionen Windows und macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510  und frühere Versionen Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2020.006.20042 Windows und macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows und macOS 2

Windows 


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows und macOS 2

Windows 

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows und macOS 2

Windows 

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Lesevorgang außerhalb des gültigen Bereichs   Offenlegung von Informationen   Wichtig   

CVE-2020-3804

CVE-2020-3806

Schreibvorgang außerhalb des gültigen Bereichs
Willkürliche Ausführung von Code      Kritisch CVE-2020-3795
Stapelbasierter Pufferüberlauf
Willkürliche Ausführung von Code      Kritisch CVE-2020-3799

Freier Gebrauch Willkürliche Ausführung von Code  Kritisch

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Speicheradressverlust  
Offenlegung von Informationen  
Wichtig  
CVE-2020-3800
Pufferüberlauf
Willkürliche Ausführung von Code 
Kritisch
CVE-2020-3807
Speicherbeschädigung
Willkürliche Ausführung von Code 
Kritisch
CVE-2020-3797
Laden einer unsicheren Bibliothek (DLL Hijacking)
Berechtigungsausweitung
Wichtig  
CVE-2020-3803

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:    

  • hungtt28 von Viettel Cyber Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2020-3802)
  • Huw Pigott von Sherwater Solutions, einem CyberCX-Unternehmen (CVE-2020-3803)
  • Duy Phan Thanh (Bit) von STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu von Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy während des Tianfu-Cup-Wettbewerbs (CVE-2020-3793)
  • T Sung Ta (@Mipu94) vom SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang und Wei You von der Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng und Su Purui vom TCA/SKLCS Institute of Software der Chinese Academy of Sciences und Wang Yanhao vom QiAnXin Technology Research Institute (CVE-2020-3799)