Adobe 安全性公告
發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB20-67
安全性公告 ID 發佈日期 優先順序
APSB20-67 2020 年 11 月 03 日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重大重要中度弱點。這些弱點一旦遭有心人士利用,可能導致使用過程中,系統發生任意執行程式碼的問題。


受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2020.012.20048 (含) 以前版本          
Windows 和 macOS
Acrobat Reader DC Continuous  2020.012.20048 (含) 以前版本          
Windows 和 macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 及舊版
Windows 和 macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 及舊版
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 (含) 以前版本          
Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 (含) 以前版本          
Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2020.013.20064 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows 和 macOS     
2

Windows

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows 和 macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
堆積型緩衝區溢位
任意執行程式碼           
重大 

CVE-2020-24435

權限控制不當 本機權限竊取 
重要
CVE-2020-24433
不當輸入驗證 任意執行 JavaScript
重要
CVE-2020-24432
略過簽名驗證步驟
最低 (縱深防禦修正)
中度
CVE-2020-24439
略過簽名確認步驟 本機權限竊取
重要 
CVE-2020-24429
不當輸入驗證 資訊外洩   
重要 
CVE-2020-24427
安全功能無故略過 動態資料庫插入
重要 
CVE-2020-24431
超出範圍寫入   
任意執行程式碼
重大 
CVE-2020-24436
超出範圍讀取   
資訊外洩   
中度

CVE-2020-24426

CVE-2020-24434

競爭情況 本機權限竊取
重要 
CVE-2020-24428
使用已釋放記憶體     
任意執行程式碼
重大 

CVE-2020-24430

CVE-2020-24437

使用已釋放記憶體
資訊外洩
中度
CVE-2020-24438

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題,與 Adobe 共同保護客戶安全:

  • 與趨勢科技零時差漏洞懸賞計畫合作的 Kimiya (CVE-2020-24434、CVE-2020-24436)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Mark Vincent Yason (@MarkYason) (CVE-2020-24426、CVE-2020-24438)
  • 騰訊安全玄武實驗室的 Yuebin Sun(@yuebinsun) (CVE-2020-24439)
  • Computest Research Division 的 Thijs Alkemade (CVE-2020-24428、CVE-2020-24429)
  • Danish Cyber Defence 的 Lasse Trolle Borup (CVE-2020-24433)
  • Cisco Talos 的 Aleksandar Nikolic (CVE-2020-24435、CVE-2020-24437)
  • Haboob Labs( CVE-2020-24427)
  • Qihoo 360 CERT 的 Hou JingYi (@hjy79425575) (CVE-2020-24431)
  • STAR Labs 的 Alan Chang Enze (CVE-2020-24430)
  • 波鴻魯爾大學網路與資安主席 Simon Rohlmann、Vladislav Mladenov、Christian Mainka 和 Jörg Schwenk (CVE-2020-24432)