Bollettino sulla sicurezza di Adobe
Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB20-13
ID bollettino Data di pubblicazione Priorità
APSB20-13 17 marzo 2020 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente. 


Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2020.006.20034 e versioni precedenti  Windows e macOS
Acrobat Reader DC Continuous  2020.006.20034 e versioni precedenti 
Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 e versioni precedenti  Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 e versioni precedenti Windows e macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 e versioni precedenti Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 e versioni precedenti Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2020.006.20042 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Lettura fuori limite   Divulgazione di informazioni   Importante   

CVE-2020-3804

CVE-2020-3806

Scritture fuori limite
Esecuzione di codice arbitrario      Critica CVE-2020-3795
Overflow del buffer basato su stack
Esecuzione di codice arbitrario      Critica CVE-2020-3799

Use-after-free Esecuzione di codice arbitrario  Critica

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Perdita di indirizzo di memoria  
Divulgazione di informazioni  
Importante  
CVE-2020-3800
Sovraccarico del buffer
Esecuzione di codice arbitrario 
Critica
CVE-2020-3807
Corruzione della memoria
Esecuzione di codice arbitrario 
Critica
CVE-2020-3797
Caricamento libreria non sicuro (DLL hijacking)
Acquisizione illecita di privilegi
Importante  
CVE-2020-3803

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • hungtt28 di Viettel Cyber Security in collaborazione con Trend Micro Zero Day Initiative (CVE-2020-3802)
  • Huw Pigott di Shearwater Solutions, una società CyberCX (CVE-2020-3803)
  • Duy Phan Thanh (bit) di STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu di Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy durante la competizione Tianfu Cup (CVE-2020-3793)
  • T Sung Ta (@Mipu94) di SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang e Wei You della Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng e Su Purui di TCA/SKLCS Institute of Software Chinese Academy of Sciences e Wang Yanhao dello QiAnXin Technology Research Institute (CVE-2020-3799)