Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB20-24
Идентификатор бюллетеня Дата публикации Приоритет
APSB20-24 12 мая 2020 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические и важные уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя. 


Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2020.006.20042 и более ранние версии  Windows и macOS
Acrobat Reader DC Continuous  2020.006.20042 и более ранние версии 
Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30166 и более ранние версии  Windows и macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 и более ранние версии Windows и macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 и более ранние версии Windows и macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 и более ранние версии Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2020.009.20063 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.009.20063
Windows и macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows и macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows и macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Указатель NULL Отказ в обслуживании приложения Важная   

CVE-2020-9610

Переполнение кучи Выполнение произвольного кода          Критическая  CVE-2020-9612
Состояние гонки Обход функции безопасности Критическая  CVE-2020-9615
Запись за пределами буфера Выполнение произвольного кода          Критическая 

CVE-2020-9597

CVE-2020-9594

Возможность обхода системы безопасности Обход функции безопасности Критическая 

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

Истощение стека Отказ в обслуживании приложения Важная  CVE-2020-9611
Чтение за пределами буфера Раскрытие информации Важная 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

Ошибка буфера Выполнение произвольного кода          Критическая 

CVE-2020-9605

CVE-2020-9604

Использование освобожденной памяти    Выполнение произвольного кода          Критическая 

CVE-2020-9607

CVE-2020-9606

Недопустимое обращение к памяти Раскрытие информации Важная 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2020-9597)
  • Александр Николич (Aleksandar Nikolic), подразделение Talos компании Cisco. (CVE-2020-9609, CVE-2020-9607)
  • Fluoroacetate (CVE-2020-9606)
  • L4N, участник программы Trend Micro Zero Day Initiative (CVE-2020-9612)
  • Любэньцзинь из группы Codesafe, Legendsec, Qi’anxin Group (CVE-2020-9608)
  • Пользователь mipu94, работающий с компанией iDefense Labs (CVE-2020-9594)
  • Кристиан Маинка, Владислав Младенов, Саймон Ролманн, Йорг Швенк; Рурский университет в Бохуме, кафедра безопасности сети и данных (CVE-2020-9592 & CVE-2020-9596)
  • Синьюй Вань, Ивэй Чжан и Вэй Ю из Китайского народного университета (CVE-2020-9611, CVE-2020-9610, CVE-2020-9605, CVE-2020-9604, CVE-2020-9603, CVE-2020-9598, CVE-2020-9595, CVE-2020-9593)
  • Юэбинь Сунь (@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-9615, CVE-2020-9614, CVE-2020-9613)
  • Чжиюань Ван и willJ из группы cdsrc компании Qihoo 360 (CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-9599)