Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB20-67
Идентификатор бюллетеня Дата публикации Приоритет
APSB20-67 03 ноября 2020 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критическиеважные и средние уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя. 


Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

2020.012.20048 и более ранние версии
Windows и macOS
Acrobat Reader DC Continuous  2020.012.20048 и более ранние версии
Windows и macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 и более ранние версии
Windows и macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 и более ранние версии
Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 и более ранние версии          
Windows и macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 и более ранние версии          
Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2020.013.20064 Windows и macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows и macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows и macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows и macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows и macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Переполнение буфера на основе кучи
Выполнение произвольного кода           
Критическая 

CVE-2020-24435

Несоответствующий контроль доступа Расширение локальных привилегий 
Важная
CVE-2020-24433
Проверка неправильного ввода Выполнение произвольного скрипта JavaScript
Важная
CVE-2020-24432
Обход проверки сигнатуры
Минимальное (исправление защиты, состоящей из нескольких рубежей)
Средняя
CVE-2020-24439
Обход проверки подписи Расширение локальных привилегий
Важная 
CVE-2020-24429
Проверка неправильного ввода Раскрытие информации   
Важная 
CVE-2020-24427
Обход функции безопасности Добавление динамической библиотеки
Важная 
CVE-2020-24431
Запись за пределами буфера   
Выполнение произвольного кода       
Критическая 
CVE-2020-24436
Чтение за пределами буфера   
Раскрытие информации   
Средняя

CVE-2020-24426

CVE-2020-24434

Состояние гонки Расширение локальных привилегий
Важная 
CVE-2020-24428
Использование освобожденной памяти     
Выполнение произвольного кода       
Критическая 

CVE-2020-24430

CVE-2020-24437

Использование освобожденной памяти
Раскрытие информации
Средняя
CVE-2020-24438

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Кимия, участник программы Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Марк Винцент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438) 
  • Юэбинь Сунь (@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Фийс Алкеманде, научно-исследовательское подразделение Computest (CVE-2020-24428, CVE-2020-24429)
  • Лассе Тролл Боруп, Danish Cyber Defence (CVE-2020-24433)
  • Александр Николич, Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Хоу Цзинъи (@hjy79425575), Qihoo 360 CERT(CVE-2020-24431)
  • Алан Чанг Энце, STAR Labs (CVE-2020-24430)
  • Саймон Ролман, Владислав Младенов, Кристиан Маинка и Йорг Швенк, Рурский университет в Бохуме, председатель совета директоров Network and Data Security (CVE-2020-24432)