Dostępne aktualizacje zabezpieczeń programów Adobe Acrobat i Adobe Reader | APSB20-05
ID biuletynu Data publikacji Priorytet
APSB20-05 11 lutego 2020 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą luk: krytycznejpoważnej oraz średniej. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2019.021.20061 i wcześniejsze wersje  Windows i macOS
Acrobat Reader DC Continuous   2019.021.20061 i wcześniejsze wersje  Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 i wcześniejsze wersje  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 i wcześniejsze wersje macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 i wcześniejsze wersje Windows i macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 i wcześniejsze wersje Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.006.20034 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows i macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows i macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows i macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Odczyt poza zakresem   Ujawnienie informacji   Istotna  

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Przepełnienie sterty  Wykonanie dowolnego kodu      Krytyczna CVE-2020-3742
Błąd bufora Wykonanie dowolnego kodu      Krytyczna

CVE-2020-3752

CVE-2020-3754    

Użycie pamięci po zwolnieniu (Use After Free) Wykonanie dowolnego kodu  Krytyczna

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Wyczerpanie miejsca w stosie    
Wyciek pamięci    
Średnia    

CVE-2020-3753  

CVE-2020-3756  

Podniesienie uprawnień Zapisanie dowolnych danych w systemie plików Krytyczna

CVE-2020-3762

CVE-2020-3763

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Zhiyuan Wang i willJ z Chengdu Security Response Center w firmie Qihoo 360 Technology Co. Ltd. (CVE-2020-3747)
  • Ke Liu z laboratorium Xuanwu Lab firmy Tencent Security (CVE-2020-3755)
  • Xinyu Wan, Yiwei Zhang i Wei You z Uniwersytetu Ludowego w Chinach (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Xu Peng i Su Purui z TCA/SKLCS Instytutu Oprogramowania Chińskiej Akademii Nauk współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-3748)
  • Aleksandar Nikolic z firmy Cisco Talos. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Haikuo Xie z firmy Baidu Security Lab. (CVE-2020-3756, CVE-2020-3753)
  • Sooraj K S (@soorajks) z firmy McAfee (CVE-2020-3751)
  • Csaba Fitzl (@theevilbit) we współpracy z firmą iDefense Labs (CVE-2020-3762, CVE-2020-3763)