Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader | APSB20-67
ID biuletynu Data publikacji Priorytet
APSB20-67 03 listopada 2020 r. 2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą luk: krytycznejpoważnej oraz średniej. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. 


Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC  Continuous 

2020.012.20048 i wcześniejsze wersje          
Windows i macOS
Acrobat Reader DC Continuous  2020.012.20048 i wcześniejsze wersje          
Windows i macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 i wcześniejsze wersje
Windows i macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 i wcześniejsze wersje
Windows i macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 i wcześniejsze wersje          
Windows i macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 i wcześniejsze wersje          
Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Pobierz instalatory programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów.     

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Continuous 2020.013.20064 Windows i macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows i macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows i macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows i macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows i macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows i macOS 2

Windows

macOS

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Przepełnienie buforu sterty
Wykonanie dowolnego kodu           
Krytyczna 

CVE-2020-24435

Niewłaściwa kontrola dostępu Podwyższanie uprawnień lokalnych 
Poważna
CVE-2020-24433
Nieprawidłowe sprawdzanie danych wejściowych Dowolne wykonanie kodu JavaScript w przeglądarce
Poważna
CVE-2020-24432
Obejście sprawdzania poprawności podpisu
Minimalna (poprawka typu obrona wgłąb)
Średnia
CVE-2020-24439
Obejście weryfikacji podpisu Podwyższanie uprawnień lokalnych
Istotna 
CVE-2020-24429
Nieprawidłowe sprawdzanie danych wejściowych Ujawnienie informacji   
Poważna 
CVE-2020-24427
Obejście funkcji bezpieczeństwa Iniekcja bibliotek dynamicznych
Poważna 
CVE-2020-24431
Zapis poza zakresem   
Wykonanie dowolnego kodu       
Krytyczna 
CVE-2020-24436
Odczyt poza zakresem   
Ujawnienie informacji   
Średnia

CVE-2020-24426

CVE-2020-24434

Wyścig procesów Podwyższanie uprawnień lokalnych
Poważna 
CVE-2020-24428
Używanie zasobu po zwolnieniu     
Wykonanie dowolnego kodu       
Krytyczna 

CVE-2020-24430

CVE-2020-24437

Używanie zasobu po zwolnieniu
Ujawnienie informacji
Średnia
CVE-2020-24438

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:    

  • Użytkownik Kimiya współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) z Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade z działu badawczego firmy Computest (CVE-2020-24428, CVE-2020-24429).
  • Lasse Trolle Borup z firmy Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic z firmy Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) z Qihoo 360 CERT (CVE-2020-24431)
  • Alan Chang Enze z firmy STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka i Jörg Schwenk z Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)