Dostępne aktualizacje zabezpieczeń programów Adobe Acrobat i Reader | APSB20-13
ID biuletynu Data publikacji Priorytet
APSB20-13 17 marca 2020 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2020.006.20034 i wcześniejsze wersje  Windows i macOS
Acrobat Reader DC Continuous  2020.006.20034 i starsze wersje 
Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 i wcześniejsze wersje  Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 i wcześniejsze wersje Windows i macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 i wcześniejsze wersje Windows i macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 i wcześniejsze wersje Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.006.20042 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows i macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows i macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows i macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Odczyt poza zakresem   Ujawnienie informacji   Istotna   

CVE-2020-3804

CVE-2020-3806

Zapis poza zakresem
Wykonanie dowolnego kodu      Krytyczna CVE-2020-3795
Przepełnienie buforu na stosie
Wykonanie dowolnego kodu      Krytyczna CVE-2020-3799

Używanie zasobu po zwolnieniu Wykonanie dowolnego kodu  Krytyczna

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Wyciek adresu pamięci  
Ujawnienie informacji  
Istotna  
CVE-2020-3800
Przepełnienie buforu
Wykonanie dowolnego kodu 
Krytyczna
CVE-2020-3807
Uszkodzenie pamięci
Wykonanie dowolnego kodu 
Krytyczna
CVE-2020-3797
Niebezpieczne wczytywanie bibliotek (DLL hijacking)
Podniesienie uprawnień
Istotna  
CVE-2020-3803

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Użytkownik hungtt28 z Viettel Cyber Security współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-3802)
  • Huw Pigott z firmy Shearwater Solutions należącej do CyberCX (CVE-2020-3803)
  • Duy Phan Thanh (bit) z firmy STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu z Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy podczas zawodów Pucharu Tianfu (CVE-2020-3793)
  • T Sung Ta (@Mipu94) z SEFCOM Lab, Arizona State University (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang i Wei You z Renmin University of China (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng i Su Purui z TCA/SKLCS Institute of Software, Chińska Akademia Nauk, i Wang Yanhao z QiAnXin Technology Research Institute (CVE-2020-3799)