Bollettino sulla sicurezza di Adobe
Aggiornamenti di sicurezza disponibili per Adobe Acrobat e Reader | APSB20-67
ID bollettino Data di pubblicazione Priorità
APSB20-67 3 novembre 2020 2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità criticheimportanti e moderate. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente. 


Versioni interessate

Prodotto Track Versioni interessate Piattaforma
Acrobat DC  Continuous 

2020.012.20048 e versioni precedenti          
Windows e macOS
Acrobat Reader DC Continuous  2020.012.20048 e versioni precedenti          
Windows e macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 e versioni precedenti
Windows e macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 e versioni precedenti
Windows e macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 e versioni precedenti          
Windows e macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 e versioni precedenti          
Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Scaricate i programmi di installazione enterprise da ftp://ftp.adobe.com/pub/adobe/ o fate riferimento alla versione specifica delle note sulla versione per i collegamenti ai programmi di installazione.

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto Track Versioni aggiornate Piattaforma Livello di priorità Disponibilità
Acrobat DC Continuous 2020.013.20064 Windows e macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows e macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows e macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows e macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows e macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows e macOS 2

Windows

macOS

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Sovraccarico del buffer basato su heap
Esecuzione di codice arbitrario           
Critica 

CVE-2020-24435

Controllo dell'accesso non autorizzato Riassegnazione dei privilegi locali 
Importante
CVE-2020-24433
Convalida dell'input errata Esecuzione JavaScript arbitraria
Importante
CVE-2020-24432
Ignora convalida firma
Minimo (correzione di difesa in profondità)
Moderato
CVE-2020-24439
Ignora verifica firma Riassegnazione dei privilegi locali
Importante 
CVE-2020-24429
Convalida dell'input errata Divulgazione di informazioni   
Importante 
CVE-2020-24427
Aggiramento della funzione di sicurezza Inserimento di librerie dinamiche
Importante 
CVE-2020-24431
Scritture fuori limite   
Esecuzione di codice arbitrario       
Critica 
CVE-2020-24436
Lettura fuori limite   
Divulgazione di informazioni   
Moderato

CVE-2020-24426

CVE-2020-24434

Corsa critica Riassegnazione dei privilegi locali
Importante 
CVE-2020-24428
Use-after-free     
Esecuzione di codice arbitrario       
Critica 

CVE-2020-24430

CVE-2020-24437

Use-after-free
Divulgazione di informazioni
Moderato
CVE-2020-24438

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:    

  • Kimiya in collaborazione con Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) in collaborazione con la Trend Micro Zero Day Initiative (CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) di Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade di Computest Research Division(CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup di Danish Cyber Defense (CVE-2020-24433)
  • Aleksandar Nikolic di Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) di Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze di STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka e Jörg Schwenk della Ruhr University Bochum, presidente della rete e della sicurezza dei dati (CVE-2020-24432)