Bollettino sulla sicurezza di Adobe
Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB20-24
ID bollettino Data di pubblicazione Priorità
APSB20-24 12 maggio 2020 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente. 


Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2020.006.20042 e versioni precedenti  Windows e macOS
Acrobat Reader DC Continuous  2020.006.20042 e versioni precedenti 
Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30166 e versioni precedenti  Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 e versioni precedenti Windows e macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 e versioni precedenti Windows e macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 e versioni precedenti Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2020.009.20063 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.009.20063
Windows e macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows e macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows e macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Puntatore nullo Rifiuto di utilizzo dell'applicazione Importante   

CVE-2020-9610

Sovraccarico dell'heap Esecuzione di codice arbitrario          Critica  CVE-2020-9612
Corsa critica Aggiramento della funzione di sicurezza Critica  CVE-2020-9615
Scritture fuori limite Esecuzione di codice arbitrario          Critica 

CVE-2020-9597

CVE-2020-9594

Aggiramento della protezione Aggiramento della funzione di sicurezza Critica 

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

Esaurimento dello stack Rifiuto di utilizzo dell'applicazione Importante  CVE-2020-9611
Lettura fuori limite Divulgazione di informazioni Importante 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

Errore buffer Esecuzione di codice arbitrario          Critica 

CVE-2020-9605

CVE-2020-9604

Use-after-free    Esecuzione di codice arbitrario          Critica 

CVE-2020-9607

CVE-2020-9606

Accesso alla memoria non valido Divulgazione di informazioni Importante 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Utente anonimo in collaborazione con la Trend Micro Zero Day Initiative (CVE-2020-9597)
  • Aleksandar Nikolic di Cisco Talos. (CVE-2020-9609, CVE-2020-9607)
  • Fluoroacetato (CVE-2020-9606)
  • L4Nce in collaborazione con Trend Micro Zero Day Initiative (CVE-2020-9612)
  • Liubenjin di Codesafe Team di Legendsec presso Qi'anxin Group (CVE-2020-9608)
  • mipu94 in collaborazione con iDefense Labs (CVE-2020-9594)
  • Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jörg Schwenk; Ruhr University Bochum, presidente per la sicurezza della rete e dei dati (CVE-2020-9592 e CVE-2020-9596)
  • Xinyu Wan, Yiwei Zhang e Wei You della Renmin University of China (CVE-2020-9611, CVE-2020-9610, CVE-2020-9605, CVE-2020-9604, CVE-2020-9603, CVE-2020-9598, CVE-2020-9595, CVE-2020-9593)
  • Yuebin Sun(@yuebinsun) di Tencent Security Xuanwu Lab (CVE-2020-9615, CVE-2020-9614, CVE-2020-9613)
  • Zhiyuan Wang e willJ da cdsrc di Qihoo 360 (CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-959 9)