ID biuletynu
Ostatnia aktualizacja
8 paź 2024
Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB24-57
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB24-57 |
13 sierpień 2024 r. |
3 |
Podsumowanie
Firma Adobe udostępniła aktualizację zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Ta aktualizacja usuwa krytyczne i istotne luki w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu, eskalacji uprawnień i wycieku pamięci.
Firma Adobe wie, że dowiedziono potencjału luki CVE-2024-39383 do spowodowania awarii aplikacji Adobe Acrobat i Reader. Firma Adobe nie posiada informacji o praktycznym wykorzystywaniu tego błędu.
Zagrożone wersje
|
Ścieżka |
Zagrożone wersje |
Platforma |
|
|
Acrobat DC |
Continuous |
24.002.20991 i starsze wersje |
Windows i macOS |
|
Acrobat Reader DC |
Continuous |
24.002.20991 i starsze wersje |
Windows i macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30123 i starsze wersje |
Windows i macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30636 i starsze wersje (Windows) |
Windows i macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30636 i starsze wersje (Windows) |
Windows i macOS |
Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.
Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
|
Acrobat DC |
Continuous |
24.002.21005 |
Windows i macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.002.21005 |
Windows i macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30159 |
Windows i macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30655 |
Windows i macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30655 |
Windows i macOS |
3 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Podstawowy wynik CVSS | Wektor CVSS | Numer CVE |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39383
|
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna | 8.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2024-39422 |
| Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39423 |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39424 |
| Niewłaściwa weryfikacja podpisu kryptograficznego (CWE-347) |
Eskalacja uprawnień |
Krytyczna | 7.5 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39425 |
| Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39426 |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41830 |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41831 |
| Hazard Time-of-check Time-of-use (TOCTOU) (CWE-367) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39420 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-41832 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41833 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41834 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41835 |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-45107 |
Podziękowania
Firma Adobe składa podziękowania następującemu badaczowi za zgłoszenie tej luki w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Cisco Talos (ciscotalos) – CVE-2024-41830, CVE-2024-41832, CVE-2024-41835, CVE-2024-39420
- Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2024-39422, CVE-2024-39426, CVE-2024-41831, CVE-2024-41833, CVE-2024-41834, CVE-2024-45107
- Defence Tech Security – CVE-2024-39425
- Haifei Li z firmy EXPMON i Check Point Research – CVE-2024-39383
- Mark Vincent Yason (markyason.github.io) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2024-39424
- Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2024-39423
Wersje:
18 września 2024 r.: Dodano komentarz do CVE-2024-39383
4 września 2024 r.: Dodano CVE-2024-45107
3 września 2024 r.: Dodano CVE-2024-39420
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
