Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB20-24
Bulletin-ID Veröffentlichungsdatum Priorität
APSB20-24 12. Mai 2020 2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen. 


Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Continuous 

2020.006.20042 und frühere Versionen  Windows und macOS
Acrobat Reader DC Continuous  2020.006.20042 und frühere Versionen 
Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30166  und frühere Versionen  Windows und macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 und frühere Versionen Windows und macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 und frühere Versionen Windows und macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518  und frühere Versionen Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Continuous 2020.009.20063 Windows und macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.009.20063
Windows und macOS 2

Windows 


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows und macOS 2

Windows 

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows und macOS 2

Windows 

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows und macOS 2

Windows 

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Null-Zeiger Anwendungsabsturz Wichtig   

CVE-2020-9610

Heap-Überlauf Willkürliche Ausführung von Code          Kritisch  CVE-2020-9612
Race-Bedingung Umgehung der Sicherheitsfunktionen Kritisch  CVE-2020-9615
Schreibvorgang außerhalb des gültigen Bereichs Willkürliche Ausführung von Code          Kritisch 

CVE-2020-9597

CVE-2020-9594

Sicherheitsbypass Umgehung der Sicherheitsfunktionen Kritisch 

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

Stapelauslastung Anwendungsabsturz Wichtig  CVE-2020-9611
Lesevorgang außerhalb des gültigen Bereichs Offenlegung von Informationen Wichtig 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

Pufferfehler Willkürliche Ausführung von Code          Kritisch 

CVE-2020-9605

CVE-2020-9604

Freier Gebrauch    Willkürliche Ausführung von Code          Kritisch 

CVE-2020-9607

CVE-2020-9606

Ungültiger Speicherzugriff Offenlegung von Informationen Wichtig 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:    

  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2020-9597)
  • Aleksandar Nikolic von Cisco Talos. (CVE-2020-9609, CVE-2020-9607)
  • Fluoroacetate (CVE-2020-9606)
  • L4N in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2020-9612)
  • Liubenjin vom Codesafe Team of Legendsec bei Qi’anxin Group (CVE-2020-9608)
  • mipu94 in Zusammenarbeit mit iDefense Labs (CVE-2020-9594)
  • Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jörg Schwenk; Ruhr-Universität Bochum, Lehrstuhl für Netz- und Datensicherheit (CVE-2020-9592 & CVE-2020-9596)
  • Xinyu Wan, Yiwei Zhang und Wei You von der Renmin University of China (CVE-2020-9611, CVE-2020-9610, CVE-2020-9605, CVE-2020-9604, CVE VE-2020-9603, CVE-2020-9598, CVE-2020-9595, CVE-2020-9593)
  • Yuebin Sun(@yuebinsun) von Tencent Security Xuanwu Lab (CVE-2020-9615, CVE-2020-9614, CVE-2020-9613)
  • Zhiyuan Wang und willJ von cdsrc von Qihoo 360 (CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-9599)