Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB20-05
Идентификатор бюллетеня Дата публикации Приоритет
APSB20-05 11 февраля 2020 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критическиеважные и средние уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя. 


Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2019.021.20061 и более ранние версии  Windows и macOS
Acrobat Reader DC Continuous   2019.021.20061 и более ранние версии  Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 и более ранние версии  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 и более ранние версии macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 и более ранние версии Windows и macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 и более ранние версии Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2020.006.20034 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows и macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows и macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Чтение за пределами буфера   Раскрытие информации   Важная   

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

Переполнение кучи  Выполнение произвольного кода      Критическая CVE-2020-3742
Ошибка буфера Выполнение произвольного кода      Критическая

CVE-2020-3752

CVE-2020-3754    

Используйте после бесплатно Выполнение произвольного кода  Критическая

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

Истощение стека    
Утечка памяти    
Средняя    

CVE-2020-3753  

CVE-2020-3756  

Повышение уровня полномочий Запись в произвольную файловую систему Критическая

CVE-2020-3762

CVE-2020-3763

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Чжиюань Ван и willJ, центр Чэнду по вопросам безопасности, Qihoo 360 CO. Ltd. (CVE-2020-3747)
  • Ke Лиу, Tencent Security Xuanwu Lab (CVE-2020-3755)
  • Синьюй Вань, Ивэй Чжан и Вэй Ю, Китайский народный университет (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3749, CVE-2020-3750, CVE-2020-3752, CVE-2020-3754)
  • Сюй Пэн и Су Пужуй из института TCA/SKLCS при Китайской академии наук, участники программы Trend Micro Zero Day Initiative (CVE-2020-3748)
  • Александр Николич (Aleksandar Nikolic), подразделение Talos компании Cisco. (CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • Хайку Се, Baidu Security Lab. (CVE-2020-3756, CVE-2020-3753)
  • Sooraj K S (@soorajks), McAfee (CVE-2020-3751)
  • Ксаба Фицл (@theevilbit), сотрудничающий с iDefense Labs (CVE-2020-3762, CVE-2020-3763)