Adoben tietoturvatiedote
Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB20-05
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-05 11. helmikuuta 2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat kriittisentärkeän ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2019.021.20061 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous   2019.021.20061 ja aiemmat versiot  Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 ja aiemmat versiot  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 ja aiemmat versiot macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.006.20034 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows ja macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen   Tietojen paljastuminen   Tärkeä   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Pinon ylivuoto  Mielivaltaisen koodin suoritus      Kriittinen CVE-2020-3742
Puskurivirhe Mielivaltaisen koodin suoritus      Kriittinen

CVE-2020-3752

CVE-2020-3754    

Vapautuksen jälkeinen käyttö Mielivaltaisen koodin suoritus  Kriittinen

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Pinon loppuminen    
Muistivuoto    
Kohtalainen    

CVE-2020-3753

CVE-2020-3756  

Käyttöoikeuksien laajennus Mielivaltainen tiedostojärjestelmään kirjoitus Kriittinen

CVE-2020-3762

CVE-2020-3763

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Zhiyuan Wang ja  willJ, Qihoo 360 Technology Co. Ltd:n Chengdu Security Response Center (CVE-2020-3747)
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang ja Wei You, Renmin University of China (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752 ja CVE-2020-3754)
  • Xu Peng ja  Su Purui, TCA/SKLCS Institute of Software Chinese Academy of Sciencesis, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2020-3748)
  • Aleksandar Nikolic, Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haikuo Xie, Baidu Security Lab. (CVE-2020-3756 ja CVE-2020-3753)
  • Sooraj K S (@soorajks), McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) yhteistyössä iDefense Labsin kanssa (CVE-2020-3762 ja CVE-2020-3763)