Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB20-24
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-24 12.5.2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2020.006.20042 ja aiemmat versiot  Windows ja macOS
Acrobat Reader DC Continuous  2020.006.20042 ja aiemmat versiot 
Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30166 ja aiemmat versiot  Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 ja aiemmat versiot Windows ja macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 ja aiemmat versiot Windows ja macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 ja aiemmat versiot Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.009.20063 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.009.20063
Windows ja macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows ja macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Tyhjäarvo-osoitin Sovelluksen palvelunesto Tärkeä   

CVE-2020-9610

Pinon ylivuoto Mielivaltaisen koodin suoritus          Kriittinen  CVE-2020-9612
Kilpatilanne Tietoturvaominaisuuden ohitus Kriittinen  CVE-2020-9615
Rajat ylittävä kirjoittaminen Mielivaltaisen koodin suoritus          Kriittinen 

CVE-2020-9597

CVE-2020-9594

Suojauksen ohitus Tietoturvaominaisuuden ohitus Kriittinen 

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

Pinon loppuminen Sovelluksen palvelunesto Tärkeä  CVE-2020-9611
Rajat ylittävä lukeminen Tietojen paljastuminen Tärkeä 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

Puskurivirhe Mielivaltaisen koodin suoritus          Kriittinen 

CVE-2020-9605

CVE-2020-9604

Muistin vapauttamisen jälkeinen hyökkäys    Mielivaltaisen koodin suoritus          Kriittinen 

CVE-2020-9607

CVE-2020-9606

Virheellinen muistinkäyttö Tietojen paljastuminen Tärkeä 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Nimetön yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2020-9597)
  • Aleksandar Nikolic, Cisco Talos. (CVE-2020-9609 ja CVE-2020-9607)
  • Fluoroacetate (CVE-2020-9606)
  • L4N yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2020-9612)
  • Liubenjin, Codesafe Team of Legendsec, Qi’anxin Group (CVE-2020-9608)
  • mipu94 yhteistyössä iDefense Labsin kanssa (CVE-2020-9594)
  • Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jörg Schwenk; Ruhr University Bochum, Chair for network and data security (CVE-2020-9592 & CVE-2020-9596)
  • Xinyu Wan, Yiwei Zhang ja Wei You, Renmin University of China (CVE-2020-9611, CVE-2020-9610, CVE-2020-9605, CVE-2020-9604, CVE-2020-9603, CVE-2020-9598, CVE-2020-9595, CVE-2020-9593)
  • Yuebin Sun (@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-9615, CVE-2020-9614, CVE-2020-9613)
  • Zhiyuan Wang ja willJ, cdsrc, Qihoo 360 (CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-9599)