Biuletyn dotyczący zabezpieczeń firmy Adobe
Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB20-48
ID biuletynu Data publikacji Priorytet
APSB20-48 11 sierpnia 2020 r. 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2020.009.20074 i wcześniejsze wersje          
Windows i macOS
Acrobat Reader DC Continuous  2020.009.20074 i wcześniejsze wersje          
Windows i macOS
       
Acrobat 2020
Classic 2020           
2020.001.30002
Windows i macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30002
Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30171 i wcześniejsze wersje          
Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30171 i wcześniejsze wersje          
Windows i macOS
       
Acrobat 2015  Classic 2015 2015.006.30523 i wcześniejsze wersje             
Windows i macOS
Acrobat Reader 2015 Classic 2015 2015.006.30523 i wcześniejsze wersje             
Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.012.20041 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.012.20041
Windows i macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30005
Windows i macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30005
Windows i macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30175 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30175 Windows i macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30527 Windows i macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30527 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Ujawnienie poufnych informacji
Wyciek pamięci
Istotna   

CVE-2020-9697

Ominięcie zabezpieczeń 
Podniesienie uprawnień 
Istotna
CVE-2020-9714
Zapis poza zakresem Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9693

CVE-2020-9694

Ominięcie zabezpieczeń Obejście funkcji bezpieczeństwa Krytyczna

CVE-2020-9696

CVE-2020-9712

Wyczerpanie miejsca w stosie Odmowa usługi aplikacji Istotna 

CVE-2020-9702

CVE-2020-9703

Odczyt poza zakresem Ujawnienie informacji Istotna 

CVE-2020-9723

CVE-2020-9705

CVE-2020-9706

CVE-2020-9707

CVE-2020-9710

CVE-2020-9716

CVE-2020-9717

CVE-2020-9718

CVE-2020-9719

CVE-2020-9720

CVE-2020-9721

Błąd bufora Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9698

CVE-2020-9699

CVE-2020-9700

CVE-2020-9701

CVE-2020-9704

Używanie zasobu po zwolnieniu    Wykonanie dowolnego kodu          Krytyczna 

CVE-2020-9715

CVE-2020-9722

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Anonimowy użytkownik pracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-9693, CVE-2020-9694) 
  • Steven Seeley z zespołu Qihoo 360 Vulcan Team (CVE-2020-9723)
  • Abdul-Aziz Hariri pracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-9697, CVE-2020-9706, CVE-2020-9707, CVE-2020-9710, CVE-2020-9712)
  • Csaba Fitzl (@theevilbit) z Offensive Security współpracujący z firmą iDefense Labs (CVE-2020-9714)
  • Kyle Martin z Uniwersytetu Stanowego Karoliny Północnej, Sung Ta Dinh z Uniwersytetu Stanowego Arizony, Haehyun Cho z Uniwersytetu Stanowego Arizony, Ruoyu „Fish” Wang z Uniwersytetu Stanowego Arizony oraz Alexandros Kapravelos z Uniwersytetu Stanowego Karoliny Północnej (CVE-2020-9722)
  • Ken Hsu z firmy Palo Alto Networks. (CVE-2020-9695)
  • Zhangqing, Zhiyuan Wang i willJ z zespołu cdsrc firmy Qihoo 360 (CVE-2020-9716, CVE-2020-9717, CVE-2020-9718, CVE-2020-9719, CVE-2020-9720, CVE-2020-9721)
  • Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-9715)
  • Xinyu Wan, Yiwei Zhang i Wei You z Uniwersytetu Renmin w Chinach (CVE-2020-9705, CVE-2020-9711, CVE-2020-9713)  
  • Xu Peng z TCA/SKLCS Institute of Software, Chińska Akademia Nauk, i Wang Yanhao z QiAnXin Technology Research Institute (CVE-2020-9698, CVE-2020-9699, CVE-2020-9700, CVE-2020-9701, CVE-2020-9702, CVE-2020-9703, CVE-2020-9704)
  • Yuebin Sun(@yuebinsun) z Tencent Security Xuanwu Lab (CVE-2020-9696)