Tiedotteen tunnus
Päivitetty viimeksi
23. joulukuuta 2024
Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB24-92
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-92 |
10. joulukuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Tämä päivitys ratkaisee kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen, muistivuotoon ja sovelluksen palvelunestoon.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
|
Seuranta |
Versiot |
Ympäristö |
|
|
Acrobat DC |
Continuous |
24.005.20307 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat Reader DC |
Continuous |
24.005.20307 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30213 ja aiemmat versiot (Windows) 24.001.30193 ja aiemmat versiot (macOS) |
Windows ja macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30730 ja aiemmat versiot (Windows) 20.005.30710 ja aiemmat versiot (macOS) |
Windows ja macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30730 ja aiemmat versiot (Windows) 20.005.30710 ja aiemmat versiot (macOS) |
Windows ja macOS |
Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.
Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.
Ratkaisu
Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:
Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Etsi päivityksiä.
- Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
- Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
IT-päälliköt (hallinnoidut ympäristöt):
Katso asennusohjelmien linkit julkaisutietojen versiosta.
Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Seuranta |
Päivitetyt versiot |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|
|
Acrobat DC |
Continuous |
24.005.20320 |
Windows ja macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.005.20320 |
Windows ja macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30225 |
Windows ja macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30748 |
Windows ja macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30748 |
Windows ja macOS |
3 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVSS-peruspisteet | CVSS-vektori | CVE-numero |
| Use After Free (CWE-416) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.0 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2024-49530
|
| Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) | Mielivaltaisen koodin suoritus | Kriittinen | 6.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2024-49535 |
| Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) | Sovelluksen palvelunesto | Tärkeä | 4.7 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2024-49531 |
| Rajat ylittävä lukeminen (CWE-125) | Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49532 |
| Rajat ylittävä lukeminen (CWE-125) | Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49533 |
| Rajat ylittävä lukeminen (CWE-125) | Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49534 |
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Cisco Talos – CVE-2024-49532, CVE-2024-49533, CVE-2024-49534
- yopwn – CVE-2024-49530
- Jiri Vinopal – CVE-2024-49531
- Jörn Henkel (joernhe) – CVE-2024-49535
Versiot:
11. joulukuuta 2024: Päivitetty Ratkaisu-osiota:
- Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
