Adobe – sikkerhetsbulletin
Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB20-05
Bulletin-ID Dato publisert Prioritet
APSB20-05 11. februar 2020 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer kritiskeviktige og moderate sårbarheter. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker. 


Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 

2019.021.20061 og tidligere versjoner  Windows og macOS
Acrobat Reader DC Continuous   2019.021.20061 og tidligere versjoner  Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 og tidligere versjoner  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 og tidligere versjoner macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 og tidligere versjoner Windows og macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 og tidligere versjoner Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2020.006.20034 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows og macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows og macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows og macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows og macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows og macOS 2

Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Lesing utenfor område   Avsløring av informasjon   Viktig   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Heap-overflyt  Vilkårlig kjøring av kode      Kritisk CVE-2020-3742
Bufferfeil Vilkårlig kjøring av kode      Kritisk

CVE-2020-3752

CVE-2020-3754    

Use After Free Vilkårlig kjøring av kode  Kritisk

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Stakktømming    
Minnelekkasje    
Moderat    

CVE-2020-3753

CVE-2020-3756  

Rettighetsutvidelse Arbitrært filsystem-skriving Kritisk

CVE-2020-3762

CVE-2020-3763

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:    

  • Zhiyuan Wang og  willJ fra Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. (, CVE-2020-3747)
  • Ke Liu of Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang og Wei You fra Renmin University of China (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Xu Peng og  Su Purui fra TCA/SKLCS Institute of Software Chinese Academy of Sciences i samarbeid med Trend Micro Zero Day Initiative (-2020-, CVE-3748)
  • Aleksandar Nikolic fra Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haikuo Xie fra Baidu Security Lab. (CVE-2020-3756, CVE-2020-3753)
  • Sooraj K S (@soorajks) fra McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) arbeider med iDefense Labs (CVE-2020-3762, CVE-2020-3763)