Adoben tietoturvatiedote

Adoben tietoturvatiedote

Hae
Käyttöopas

Tällä sivulla

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Adobe Acrobatin ja Readerin tietoturvapäivitykset | APSB20-67
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB20-67 3. marraskuuta 2020 2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat kriittisentärkeän ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa. 


Versiot

Tuote Seuranta Versiot Ympäristö
Acrobat DC  Continuous 

 2020.012.20048 ja aiemmat versiot          
 Windows ja macOS
Acrobat Reader DC Continuous  2020.012.20048 ja aiemmat versiot          
 Windows ja macOS
       
Acrobat 2020
 Classic 2020           
 2020.001.30005 ja aiemmat versiot
 Windows ja macOS
Acrobat Reader 2020
 Classic 2020           
 2020.001.30005 ja aiemmat versiot
 Windows ja macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 ja aiemmat versiot          
 Windows ja macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 ja aiemmat versiot          
 Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Seuranta Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Continuous 2020.013.20064 Windows ja macOS 2

Windows    

macOS  
Acrobat Reader DC Continuous 2020.013.20064
 Windows ja macOS 2

Windows


macOS
           
Acrobat 2020
 Classic 2020           
 2020.001.30010
 Windows ja macOS     
 2

Windows    

macOS  
Acrobat Reader 2020
 Classic 2020           
 2020.001.30010
 Windows ja macOS     
 2

Windows


macOS
           
Acrobat 2017 Classic 2017 2017.011.30180 Windows ja macOS 2

Windows

macOS
Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows ja macOS 2

Windows

macOS

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Kekopohjaisen puskurin ylivuoto
 Mielivaltaisen koodin suoritus           
 Kriittinen 

CVE-2020-24435
Sopimaton käyttöoikeuksien hallinta Paikallisten oikeuksien korotus 
 Tärkeä
 CVE-2020-24433
Virheellinen syötteen tarkistus Mielivaltainen JavaScriptin suoritus
 Tärkeä
 CVE-2020-24432
Allekirjoituksen tarkistuksen ohitus
 Minimaalinen (syvyyssuuntaisen puolustuksen korjaus)
 Kohtalainen
 CVE-2020-24439
Allekirjoituksen vahvistuksen ohitus Paikallisten oikeuksien korotus
 Tärkeä 
 CVE-2020-24429
Virheellinen syötteen tarkistus Tietojen paljastuminen   
 Tärkeä 
 CVE-2020-24427
Tietoturvaominaisuuden ohitus Dynaaminen kirjaston injektointi
 Tärkeä 
 CVE-2020-24431
Rajat ylittävä kirjoittaminen   
 Mielivaltaisen koodin suoritus       
 Kriittinen 
 CVE-2020-24436
Rajat ylittävä lukeminen   
 Tietojen paljastuminen   
 Kohtalainen

CVE-2020-24426

CVE-2020-24434
Kilpatilanne Paikallisten oikeuksien korotus
 Tärkeä 
 CVE-2020-24428
Muistin vapauttamisen jälkeinen hyökkäys     
 Mielivaltaisen koodin suoritus       
 Kriittinen 

CVE-2020-24430

CVE-2020-24437
Muistin vapauttamisen jälkeinen hyökkäys
 Tietojen paljastuminen
 Kohtalainen
 CVE-2020-24438

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:    

  • Kimiya yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade, Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup, Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic, Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575), Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze, STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka ja Jörg Schwenk, Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)