Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB20-67
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-67 3. marraskuuta 2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat kriittisentärkeän ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

2020.012.20048 ja aiemmat versiot          
Windows ja macOS
Acrobat Reader DC Continuous  2020.012.20048 ja aiemmat versiot          
Windows ja macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 ja aiemmat versiot
Windows ja macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 ja aiemmat versiot
Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 ja aiemmat versiot          
Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 ja aiemmat versiot          
Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.013.20064 Windows ja macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows ja macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows ja macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows ja macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows ja macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Kekopohjaisen puskurin ylivuoto
Mielivaltaisen koodin suoritus           
Kriittinen 

CVE-2020-24435

Sopimaton käyttöoikeuksien hallinta Paikallisten oikeuksien korotus 
Tärkeä
CVE-2020-24433
Virheellinen syötteen tarkistus Mielivaltainen JavaScriptin suoritus
Tärkeä
CVE-2020-24432
Allekirjoituksen tarkistuksen ohitus
Minimaalinen (syvyyssuuntaisen puolustuksen korjaus)
Kohtalainen
CVE-2020-24439
Allekirjoituksen vahvistuksen ohitus Paikallisten oikeuksien korotus
Tärkeä 
CVE-2020-24429
Virheellinen syötteen tarkistus Tietojen paljastuminen   
Tärkeä 
CVE-2020-24427
Tietoturvaominaisuuden ohitus Dynaaminen kirjaston injektointi
Tärkeä 
CVE-2020-24431
Rajat ylittävä kirjoittaminen   
Mielivaltaisen koodin suoritus       
Kriittinen 
CVE-2020-24436
Rajat ylittävä lukeminen   
Tietojen paljastuminen   
Kohtalainen

CVE-2020-24426

CVE-2020-24434

Kilpatilanne Paikallisten oikeuksien korotus
Tärkeä 
CVE-2020-24428
Muistin vapauttamisen jälkeinen hyökkäys     
Mielivaltaisen koodin suoritus       
Kriittinen 

CVE-2020-24430

CVE-2020-24437

Muistin vapauttamisen jälkeinen hyökkäys
Tietojen paljastuminen
Kohtalainen
CVE-2020-24438

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Kimiya yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade, Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup, Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic, Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575), Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze, STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka ja Jörg Schwenk, Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)