Sikkerhedsopdatering til Adobe Acrobat og Reader | APSB20-67
Bulletin-ID Udgivelsesdato Prioritet
APSB20-67 3. november 2020 2

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og macOS. Disse opdateringer løser kritiskevigtige og moderate sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel for den aktuelle bruger. 


Berørte versioner

Produkt Track Berørte versioner Platform
Acrobat DC  Continuous 

2020.012.20048 og tidligere versioner          
Windows og macOS
Acrobat Reader DC Continuous  2020.012.20048 og tidligere versioner          
Windows og macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 og tidligere versioner
Windows og macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 og tidligere versioner
Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 og tidligere versioner          
Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 og tidligere versioner          
Windows og macOS

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge vejledningen nedenfor.    

De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:    

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.     

  • Produkterne opdateres automatisk, når der registreres opdateringer, uden at det kræver brugerens opmærksomhed.      

  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra  Acrobat Reader Download Center.     

For IT-administratorer (administrerede miljøer):     

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.

  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på MacOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:   

Produkt Track Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC Continuous 2020.013.20064 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows og macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows og macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows og macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-nummer
Heap-baseret bufferoverløb
Vilkårlig kodekørsel           
Kritisk 

CVE-2020-24435

Ukorrekt adgangskontrol Lokal eskalering af rettigheder 
Vigtigt
CVE-2020-24433
Ukorrekt input-validering Vilkårlig JavaScript-kodekørsel
Vigtigt
CVE-2020-24432
Tilsidesættelse af signaturbekræftelse
Minimal (defense-in-depth-rettelse)
Moderat
CVE-2020-24439
Tilsidesættelse af signaturbekræftelse Lokal eskalering af rettigheder
Vigtig 
CVE-2020-24429
Ukorrekt input-validering Afsløring af oplysninger   
Vigtigt 
CVE-2020-24427
Sikkerhedsomgåelse DLL-injektion
Vigtigt 
CVE-2020-24431
Out-of-bounds-skrivning   
Vilkårlig kodekørsel       
Kritisk 
CVE-2020-24436
Out-of-bounds-læsning   
Afsløring af oplysninger   
Moderat

CVE-2020-24426

CVE-2020-24434

Race-betingelse Lokal eskalering af rettigheder
Vigtigt 
CVE-2020-24428
Use-after-free     
Vilkårlig kodekørsel       
Kritisk 

CVE-2020-24430

CVE-2020-24437

Use-after-free
Afsløring af oplysninger
Moderat
CVE-2020-24438

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:    

  • Kimiya i samarbejde med Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) i samarbejde med Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) fra Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade fra Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup fra Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic fra Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) fra Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze fra STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka og Jörg Schwenk fra Ruhr University Bochum, leder af Network and Data Security (CVE-2020-24432)