Adoben tietoturvatiedote

Adoben tietoturvatiedote

Hae
Käyttöopas

Tällä sivulla

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB20-13
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-13 17.3.2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

 2020.006.20034 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous  2020.006.20034 ja aiemmat versiot 
 Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 ja aiemmat versiot  Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 ja aiemmat versiot Windows ja macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.006.20042 Windows ja macOS 2

Windows    

macOS  
Acrobat Reader DC Continuous 2020.006.20042
 Windows ja macOS 2

Windows


macOS
           
Acrobat 2017 Classic 2017 2017.011.30166 Windows ja macOS 2

Windows

macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows ja macOS 2

Windows

macOS
           
Acrobat 2015 Classic 2015 2015.006.30518 Windows ja macOS 2

Windows

macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen   Tietojen paljastuminen   Tärkeä   

CVE-2020-3804

CVE-2020-3806
Rajat ylittävä kirjoittaminen
 Mielivaltaisen koodin suoritus      Kriittinen CVE-2020-3795
Pinopohjaisen puskurin ylivuoto
 Mielivaltaisen koodin suoritus      Kriittinen CVE-2020-3799
Muistin vapauttamisen jälkeinen hyökkäys Mielivaltaisen koodin suoritus  Kriittinen

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805
Muistiosoitteen vuoto  
 Tietojen paljastuminen  
 Tärkeä  
 CVE-2020-3800
Puskurin ylivuoto
 Mielivaltaisen koodin suoritus 
 Kriittinen
 CVE-2020-3807
Muistin vioittuminen
 Mielivaltaisen koodin suoritus 
 Kriittinen
 CVE-2020-3797
Turvattoman kirjaston lataus (DDL-kaappaus)
 Käyttöoikeuksien laajennus
 Tärkeä  
 CVE-2020-3803

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • hungtt28, Viettel Cyber Security, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2020-3802)
  • Huw Pigott, Shearwater Solutions, CyberCX:n yritys (CVE-2020-3803)
  • Duy Phan Thanh (bit), STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy, Tianfu Cup -kilpailun aikana (CVE-2020-3793)
  • T Sung Ta (@Mipu94), SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang ja Wei You, Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng ja Su Purui, TCA/SKLCS Institute of Software, Chinese Academy of Sciences, ja Wang Yanhao, QiAnXin Technology Research Institute (CVE-2020-3799)