Actualizări de securitate disponibile pentru Adobe Acrobat și Reader | APSB20-67
ID buletin Data publicării Prioritate
APSB20-67 03 noiembrie 2020 2

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Acrobat și Reader pentru Windows și macOS. Aceste actualizări tratează vulnerabilități criticeimportante și moderate. O exploatare reușită ar putea duce la executare de cod arbitrară în contextul utilizatorului curent. 


Versiuni afectate

Produs Urmărire Versiuni afectate Platformă
Acrobat DC  Continuous 

2020.012.20048 și versiunile anterioare          
Windows și macOS
Acrobat Reader DC Continuous  2020.012.20048 și versiunile anterioare          
Windows și macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 și versiunile anterioare
Windows și macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 și versiunile anterioare
Windows și macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 și versiunile anterioare          
Windows și macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 și versiunile anterioare          
Windows și macOS

Soluție

Adobe le recomandă utilizatorilor să își actualizeze instalările de software la cele mai recente versiuni, urmând instrucțiunile de mai jos.    

Cele mai recente versiuni ale produselor sunt disponibile pentru utilizatorii finali prin una dintre următoarele metode:    

  • Utilizatorii pot actualiza instalările produselor manual, selectând Asistență > Căutare actualizări.     

  • Produsele se vor actualiza automat, fără a necesita intervenția utilizatorului, atunci când sunt detectate actualizări.      

  • Programul de instalare complet Acrobat Reader poate fi descărcat de la Centrul de descărcări Acrobat Reader.     

Pentru administratorii IT (medii gestionate):     

  • Descărcați programele de instalare enterprise de la ftp://ftp.adobe.com/pub/adobe/ sau consultați versiunea specifică a notelor de lansare pentru linkuri către programele de instalare.     

  • Instalați actualizările prin metoda preferată, cum ar fi AIP-GPO, bootstrapper, SCUP/SCCM (Windows) sau, pe macOS, Apple Remote Desktop și SSH.  

   

Adobe acordă acestor actualizări următoarele evaluări ale priorității și le recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:    

Produs Urmărire Versiuni actualizate Platformă Evaluare a priorității Disponibilitate
Acrobat DC Continuous 2020.013.20064 Windows și macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows și macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows și macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows și macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows și macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows și macOS 2

Windows

macOS

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Număr CVE
Depășirea memoriei tampon bazată pe heap
Executare de cod arbitrară           
Critică 

CVE-2020-24435

Control inadecvat al accesului Escaladarea privilegiilor locale 
Importantă
CVE-2020-24433
Validare incorectă a intrărilor Executare JavaScript arbitrară
Importantă
CVE-2020-24432
Ocolirea validării semnăturii
Minim (remediere apărare în adâncime)
Moderată
CVE-2020-24439
Ocolirea verificării semnăturii Escaladarea privilegiilor locale
Importantă 
CVE-2020-24429
Validare incorectă a intrărilor Divulgarea informațiilor   
Importantă 
CVE-2020-24427
Ocolirea caracteristicii de securitate Injectare dinamică bibliotecă
Importantă 
CVE-2020-24431
Scriere în afara limitelor   
Executare de cod arbitrară       
Critică 
CVE-2020-24436
Citire în afara limitelor   
Divulgarea informațiilor   
Moderată

CVE-2020-24426

CVE-2020-24434

Condiția cursei Escaladarea privilegiilor locale
Importantă 
CVE-2020-24428
Utilizare după dealocare     
Executare de cod arbitrară       
Critică 

CVE-2020-24430

CVE-2020-24437

Utilizare după dealocare
Divulgarea informațiilor
Moderată
CVE-2020-24438

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:    

  • Kimiya, lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun (@yuebinsun) de la Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade de la Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup de la Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic de la Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.(CVE-2020-24427)
  • Hou JingYi (@hjy79425575) de la Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze de la STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka și Jörg Schwenk de la Universitatea Ruhr din Bochum, catedra de Securitatea datelor și rețelelor (CVE-2020-24432)