Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB20-13
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-13 17.3.2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2020.006.20034 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous  2020.006.20034 ja aiemmat versiot 
Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 ja aiemmat versiot  Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 ja aiemmat versiot Windows ja macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.006.20042 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows ja macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Rajat ylittävä lukeminen   Tietojen paljastuminen   Tärkeä   

CVE-2020-3804

CVE-2020-3806

Rajat ylittävä kirjoittaminen
Mielivaltaisen koodin suoritus      Kriittinen CVE-2020-3795
Pinopohjaisen puskurin ylivuoto
Mielivaltaisen koodin suoritus      Kriittinen CVE-2020-3799

Muistin vapauttamisen jälkeinen hyökkäys Mielivaltaisen koodin suoritus  Kriittinen

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Muistiosoitteen vuoto  
Tietojen paljastuminen  
Tärkeä  
CVE-2020-3800
Puskurin ylivuoto
Mielivaltaisen koodin suoritus 
Kriittinen
CVE-2020-3807
Muistin vioittuminen
Mielivaltaisen koodin suoritus 
Kriittinen
CVE-2020-3797
Turvattoman kirjaston lataus (DDL-kaappaus)
Käyttöoikeuksien laajennus
Tärkeä  
CVE-2020-3803

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • hungtt28, Viettel Cyber Security, yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2020-3802)
  • Huw Pigott, Shearwater Solutions, CyberCX:n yritys (CVE-2020-3803)
  • Duy Phan Thanh (bit), STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu, Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy, Tianfu Cup -kilpailun aikana (CVE-2020-3793)
  • T Sung Ta (@Mipu94), SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang ja Wei You, Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng ja Su Purui, TCA/SKLCS Institute of Software, Chinese Academy of Sciences, ja Wang Yanhao, QiAnXin Technology Research Institute (CVE-2020-3799)