Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB20-13
Идентификатор бюллетеня Дата публикации Приоритет
APSB20-13 17 марта 2020 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и важные уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя. 


Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2020.006.20034 и более ранние версии  Windows и macOS
Acrobat Reader DC Continuous  2020.006.20034 и более ранние версии 
Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 и более ранние версии  Windows и macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 и более ранние версии Windows и macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 и более ранние версии Windows и macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 и более ранние версии Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2020.006.20042 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows и macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows и macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Чтение за пределами буфера   Раскрытие информации   Важная   

CVE-2020-3804

CVE-2020-3806

Запись за пределами буфера
Выполнение произвольного кода      Критическая CVE-2020-3795
Переполнение буфера в стеке
Выполнение произвольного кода      Критическая CVE-2020-3799

Использование освобожденной памяти Выполнение произвольного кода  Критическая

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Утечка адресов памяти  
Раскрытие информации  
Важная  
CVE-2020-3800
Переполнение буфера
Выполнение произвольного кода 
Критическая
CVE-2020-3807
Повреждение памяти
Выполнение произвольного кода 
Критическая
CVE-2020-3797
Небезопасная загрузка библиотеки (похищение DLL)
Проблема, связанная с повышением уровня полномочий
Важная  
CVE-2020-3803

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • hungtt28, Viettel Cyber Security, участник программы Trend Micro Zero Day Initiative (CVE-2020-3802)
  • Хув Пиготт, Shearwater Solutions, компания CyberCX (CVE-2020-3803)
  • Зуи Фан Тан (bit), STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Кэ Лю, Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy во время соревнований на кубок Тианфу (CVE-2020-3793)
  • Т Сунг Та (@Mipu94), SEFCOM Lab, Университет штата Аризона (CVE-2020-3792)
  • Синьюй Вань, Ивэй Чжан и Вэй Ю из Китайского народного университета (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Сюй Пэн и Су Пужуй из Института программного обеспечения TCA/SKLCS Китайской академии наук и Ван Яньхао и Технического научного института QiAnXin (CVE-2020-3799)