Biuletyn dotyczący zabezpieczeń firmy Adobe

Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Na tej stronie

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB20-67
ID biuletynu Data publikacji Priorytet
APSB20-67 03 listopada 2020 r. 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą luk: krytycznejpoważnej oraz średniej. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

 2020.012.20048 i wcześniejsze wersje          
 Windows i macOS
Acrobat Reader DC Continuous  2020.012.20048 i wcześniejsze wersje          
 Windows i macOS
       
Acrobat 2020
 Classic 2020           
 2020.001.30005 i wcześniejsze wersje
 Windows i macOS
Acrobat Reader 2020
 Classic 2020           
 2020.001.30005 i wcześniejsze wersje
 Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 i wcześniejsze wersje          
 Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 i wcześniejsze wersje          
 Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.013.20064 Windows i macOS 2

Windows    

macOS  
Acrobat Reader DC Continuous 2020.013.20064
 Windows i macOS 2

Windows


macOS
           
Acrobat 2020
 Classic 2020           
 2020.001.30010
 Windows i macOS     
 2

Windows    

macOS  
Acrobat Reader 2020
 Classic 2020           
 2020.001.30010
 Windows i macOS     
 2

Windows


macOS
           
Acrobat 2017 Classic 2017 2017.011.30180 Windows i macOS 2

Windows

macOS
Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Przepełnienie buforu sterty
 Wykonanie dowolnego kodu           
 Krytyczna 

CVE-2020-24435
Niewłaściwa kontrola dostępu Podwyższanie uprawnień lokalnych 
 Poważna
 CVE-2020-24433
Nieprawidłowe sprawdzanie danych wejściowych Dowolne wykonanie kodu JavaScript w przeglądarce
 Poważna
 CVE-2020-24432
Obejście sprawdzania poprawności podpisu
 Minimalna (poprawka typu obrona wgłąb)
 Średnia
 CVE-2020-24439
Obejście weryfikacji podpisu Podwyższanie uprawnień lokalnych
 Istotna 
 CVE-2020-24429
Nieprawidłowe sprawdzanie danych wejściowych Ujawnienie informacji   
 Poważna 
 CVE-2020-24427
Obejście funkcji bezpieczeństwa Iniekcja bibliotek dynamicznych
 Poważna 
 CVE-2020-24431
Zapis poza zakresem   
 Wykonanie dowolnego kodu       
 Krytyczna 
 CVE-2020-24436
Odczyt poza zakresem   
 Ujawnienie informacji   
 Średnia

CVE-2020-24426

CVE-2020-24434
Wyścig procesów Podwyższanie uprawnień lokalnych
 Poważna 
 CVE-2020-24428
Używanie zasobu po zwolnieniu     
 Wykonanie dowolnego kodu       
 Krytyczna 

CVE-2020-24430

CVE-2020-24437
Używanie zasobu po zwolnieniu
 Ujawnienie informacji
 Średnia
 CVE-2020-24438

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Użytkownik Kimiya współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) z Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade z działu badawczego firmy Computest (CVE-2020-24428, CVE-2020-24429).
  • Lasse Trolle Borup z firmy Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic z firmy Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) z Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze z firmy STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka i Jörg Schwenk z Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)