Adobe – sikkerhetsbulletin

Adobe – sikkerhetsbulletin

Søk

På denne siden

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader | APSB20-67
Bulletin-ID Dato publisert Prioritet
APSB20-67 03. november 2020 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer kritiskeviktige og moderate sårbarheter. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker. 


Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 

 2020.012.20048 og tidligere versjoner          
 Windows og macOS
Acrobat Reader DC Continuous  2020.012.20048 og tidligere versjoner          
 Windows og macOS
       
Acrobat 2020
 Classic 2020           
 2020.001.30005 og tidligere versjoner
 Windows og macOS
Acrobat Reader 2020
 Classic 2020           
 2020.001.30005 og tidligere versjoner
 Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 og tidligere versjoner          
 Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 og tidligere versjoner          
 Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2020.013.20064 Windows og macOS 2

Windows    

macOS  
Acrobat Reader DC Continuous 2020.013.20064
 Windows og macOS 2

Windows


macOS
           
Acrobat 2020
 Classic 2020           
 2020.001.30010
 Windows og macOS     
 2

Windows    

macOS  
Acrobat Reader 2020
 Classic 2020           
 2020.001.30010
 Windows og macOS     
 2

Windows


macOS
           
Acrobat 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS
Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Heapbasert bufferoverflyt
 Vilkårlig kjøring av kode           
 Kritisk 

CVE-2020-24435
Upassende tilgangskontroll Lokal rettighetsutvidelse 
 Viktig
 CVE-2020-24433
Feil inndatavalidering Vilkårlig kjøring av JavaScript
 Viktig
 CVE-2020-24432
Omgåelse av signaturvalidering
 Minimal (forsvar i dybden-utbedring)
 Moderat
 CVE-2020-24439
Omgåelse av signaturverifisering Lokal rettighetsutvidelse
 Viktig 
 CVE-2020-24429
Feil inndatavalidering Avsløring av informasjon   
 Viktig 
 CVE-2020-24427
Omgåelse av sikkerhetsfunksjon Dynamisk bibliotek-injeksjon
 Viktig 
 CVE-2020-24431
Skriving utenfor område   
 Vilkårlig kjøring av kode       
 Kritisk 
 CVE-2020-24436
Lesing utenfor område   
 Avsløring av informasjon   
 Moderat

CVE-2020-24426

CVE-2020-24434
Kappløpssituasjon Lokal rettighetsutvidelse
 Viktig 
 CVE-2020-24428
Use-after-free     
 Vilkårlig kjøring av kode       
 Kritisk 

CVE-2020-24430

CVE-2020-24437
Use-after-free
 Avsløring av informasjon
 Moderat
 CVE-2020-24438

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:    

  • Kimiya i samarbeid med Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) i samarbeid med Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) fra Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade fra Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup hos Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic fra Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) hos Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze hos STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka og Jörg Schwenk fra Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)