Biuletyn dotyczący zabezpieczeń firmy Adobe
Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Adobe Reader | APSB20-24
ID biuletynu Data publikacji Priorytet
APSB20-24 12 maja 2020 r. 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2020.006.20042 i wcześniejsze wersje  Windows i macOS
Acrobat Reader DC Continuous  2020.006.20042 i wcześniejsze wersje 
Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30166 i wcześniejsze wersje  Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 i wcześniejsze wersje Windows i macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 i wcześniejsze wersje Windows i macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 i wcześniejsze wersje Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.009.20063 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.009.20063
Windows i macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows i macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows i macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Wskaźnik pusty (null) Odmowa usługi aplikacji Istotna   

CVE-2020-9610

Przepełnienie sterty Wykonanie dowolnego kodu          Krytyczna  CVE-2020-9612
Wyścig procesów Obejście funkcji bezpieczeństwa Krytyczna CVE-2020-9615
Zapis poza zakresem Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9597

CVE-2020-9594

Ominięcie zabezpieczeń Obejście funkcji bezpieczeństwa Krytyczna

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

Wyczerpanie miejsca w stosie Odmowa usługi aplikacji Istotna  CVE-2020-9611
Odczyt poza zakresem Ujawnienie informacji Istotna 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

Błąd bufora Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9605

CVE-2020-9604

Używanie zasobu po zwolnieniu    Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9607

CVE-2020-9606

Nieprawidłowy dostęp do pamięci Ujawnienie informacji Istotna 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-9597)
  • Aleksandar Nikolic z firmy Cisco Talos. (CVE-2020-9609, CVE-2020-9607)
  • Fluoroacetate (CVE-2020-9606)
  • Użytkownik L4N współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-9612)
  • Liubenjin z Codesafe Team of Legendsec w: Qi'anxin Group (CVE-2020-9608)
  • Użytkownik mipu94 współpracujący z firmą iDefense Labs (CVE-2020-9594)
  • Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jörg Schwenk; Ruhr University Bochum, Katedra bezpieczeństwa sieci i danych (CVE-2020-9592 i CVE-2020-9596)
  • Xinyu Wan, Yiwei Zhang i Wei You z Uniwersytetu Renmin w Chinach (CVE-2020-9611, CVE-2020-9610, CVE-2020-9605, CVE-2020-9604, CVE-2020-9603, CVE-2020-9598, CVE-2020-9595, CVE-2020-9593)
  • Yuebin Sun (@yuebinsun) z Tencent Security Xuanwu Lab (CVE-2020-9615, CVE-2020-9614, CVE-2020-9613)
  • Zhiyuan Wang i willJ z cdsrc firmy Qihoo 360 (CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-9599)