Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Acrobat e Reader  | APSB24-29

ID do boletim

Data de publicação

Prioridade

APSB24-29

14 de maio de 2024

3

Resumo

A Adobe lançou uma atualização de segurança para o Adobe Acrobat e Reader para Windows e macOS. Esta atualização processa vulnerabilidades críticas, importantes e moderadas.  A exploração bem-sucedida pode levar à execução de código arbitrário e vazamento de memória.

Versões afetadas

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

24.002.20736 e versões anteriores

Windows e  macOS

Acrobat Reader DC

Continuous 

24.002.20736 e versões anteriores

 

Windows e macOS




     

Acrobat 2020

Classic 2020           

20.005.30574 e versões anteriores

 

Windows e macOS

Acrobat Reader 2020

Classic 2020           

20.005.30574 e versões anteriores

Windows e macOS

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC

Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

24.002.20759

Windows e macOS

3

Acrobat Reader DC

Continuous

24.002.20759

Windows e macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

Win: 20.005.30636

Mac: 20.005.30635

Windows  e macOS  

3

Acrobat Reader 2020

Classic 2020 

Win: 20.005.30636

Mac: 20.005.30635
 

Windows  e macOS 

3

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS Vetor CVSS Número CVE
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30279
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30280
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30284
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30310
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34094
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34095
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-34096
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-34097
Validação de entrada inadequada (CWE-20)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34098
Controle de acesso impróprio (CWE-284)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34099
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34100
Leitura fora dos limites (CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-30311
Leitura fora dos limites (CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-30312
Leitura fora dos limites (CWE-125)
Vazamento de memória Moderado 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2024-34101

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • Mark Vincent Yason (markyason.github.io) trabalhando com a Zero Day Initiative da Trend Micro - CVE-2024-30284, CVE-2024-34094, CVE-2024-34095, CVE-2024-34096, CVE-2024-34097
  • Cisco Talos (ciscotalos)  - CVE-2024-30311, CVE-2024-30312
  • Bobby Gould da Zero Day Initiative da Trend Micro - CVE-2024-30310, CVE-2024-34101
  • AbdulAziz Hariri (@abdhariri) de Haboob SA (@HaboobSa) - CVE-2024-34098, CVE-2024-34099
  • Anônimo trabalhando com a Zero Day Initiative da Trend Micro  - CVE-2024-30279, CVE-2024-30280
  • Suyue Guo e Wei You da Universidade Renmin da China (ruc_se_sec) - CVE-2024-34100

Revisões:

22 de maio de 2024: adicionado CVE-2024-30279 e CVE-2024-30280


OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

Receba ajuda com mais rapidez e facilidade

Novo usuário?