Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Ostatnia aktualizacja 29 maj 2024

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB24-29

ID biuletynu	Data publikacji	Priorytet
APSB24-29	14 maja 2024 r.	3

Podsumowanie

Firma Adobe udostępniła aktualizację zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Ta aktualizacja usuwa wiele krytycznych, ważnych i umiarkowanie ważnych  luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu i wycieku pamięci.

Zagrożone wersje

Produkt	Ścieżka	Zagrożone wersje	Platforma
Acrobat DC	Continuous	24.002.20736 i starsze wersje	Windows i macOS
Acrobat Reader DC	Continuous	24.002.20736 i starsze wersje	Windows i macOS

Acrobat 2020	Classic 2020	20.005.30574 i starsze wersje	Windows i macOS
Acrobat Reader 2020	Classic 2020	20.005.30574 i starsze wersje	Windows i macOS

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):     

Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt	Ścieżka	Zaktualizowane wersje	Platforma	Ocena priorytetu	Dostępność
Acrobat DC	Continuous	24.002.20759	Windows i macOS	3	Uwagi na temat wersji
Acrobat Reader DC	Continuous	24.002.20759	Windows i macOS	3	Uwagi na temat wersji

Acrobat 2020	Classic 2020	Win: 20.005.30636 Mac: 20.005.30635	Windows i macOS	3	Uwagi na temat wersji
Acrobat Reader 2020	Classic 2020	Win: 20.005.30636 Mac: 20.005.30635	Windows  i macOS	3	Uwagi na temat wersji

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Ostrość	Podstawowy wynik CVSS	Wektor CVSS	Numer CVE
Zapis poza zakresem (CWE-787)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30279
Odczyt poza zakresem (CWE-125)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30280
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30284
Zapis poza zakresem (CWE-787)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30310
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34094
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34095
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34096
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34097
Nieprawidłowa walidacja danych wejściowych (CWE-20)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34098
Niewłaściwa kontrola dostępu (CWE-284)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34099
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34100
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Istotna	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-30311
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Istotna	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-30312
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Umiarkowana	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2024-34101

Podziękowania

Firma Adobe składa podziękowania następującemu badaczowi za zgłoszenie tej luki w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

Mark Vincent Yason (markyason.github.io) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro - CVE-2024-30284, CVE-2024-34094, CVE-2024-34095, CVE-2024-34096, CVE-2024-34097
Cisco Talos (ciscotalos) - CVE-2024-30311, CVE-2024-30312
Brian Gorenc współpracujący w ramach programu Zero Day Initiative firmy Trend Micro - CVE-2024-30310, CVE-2024-34101
AbdulAziz Hariri (@abdhariri) z Haboob SA (@HaboobSa) - CVE-2024-34098, CVE-2024-34099
Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2024-30279, CVE-2024-30280
Suyue Guo i Wei You z Renmin University of China (ruc_se_sec) - CVE-2024-34100

Wersje:

22 maja 2024 r. – Dodano informacje CVE dotyczące CVE-2024-30279 i CVE-2024-30280

UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?