Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader | APSB20-67
Bulletin-ID Dato publisert Prioritet
APSB20-67 03. november 2020 2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer kritiskeviktige og moderate sårbarheter. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker. 


Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC  Continuous 

2020.012.20048 og tidligere versjoner          
Windows og macOS
Acrobat Reader DC Continuous  2020.012.20048 og tidligere versjoner          
Windows og macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 og tidligere versjoner
Windows og macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 og tidligere versjoner
Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 og tidligere versjoner          
Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 og tidligere versjoner          
Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt Spor Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Continuous 2020.013.20064 Windows og macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows og macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows og macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows og macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows og macOS 2

Windows

macOS

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Heapbasert bufferoverflyt
Vilkårlig kjøring av kode           
Kritisk 

CVE-2020-24435

Upassende tilgangskontroll Lokal rettighetsutvidelse 
Viktig
CVE-2020-24433
Feil inndatavalidering Vilkårlig kjøring av JavaScript
Viktig
CVE-2020-24432
Omgåelse av signaturvalidering
Minimal (forsvar i dybden-utbedring)
Moderat
CVE-2020-24439
Omgåelse av signaturverifisering Lokal rettighetsutvidelse
Viktig 
CVE-2020-24429
Feil inndatavalidering Avsløring av informasjon   
Viktig 
CVE-2020-24427
Omgåelse av sikkerhetsfunksjon Dynamisk bibliotek-injeksjon
Viktig 
CVE-2020-24431
Skriving utenfor område   
Vilkårlig kjøring av kode       
Kritisk 
CVE-2020-24436
Lesing utenfor område   
Avsløring av informasjon   
Moderat

CVE-2020-24426

CVE-2020-24434

Kappløpssituasjon Lokal rettighetsutvidelse
Viktig 
CVE-2020-24428
Use-after-free     
Vilkårlig kjøring av kode       
Kritisk 

CVE-2020-24430

CVE-2020-24437

Use-after-free
Avsløring av informasjon
Moderat
CVE-2020-24438

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:    

  • Kimiya i samarbeid med Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) i samarbeid med Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) fra Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade fra Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup hos Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic fra Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) hos Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze hos STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka og Jörg Schwenk fra Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)