Säkerhetsuppdateringar för Adobe Acrobat och Reader | APSB20-67
Bulletin-ID Publiceringsdatum Prioritet
APSB20-67 den 3 november 2020 2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar kritiska, viktiga och måttliga sårbarheter. Exploatering kan leda till exekvering av godtycklig kod i snabbmenyn för den aktuella användaren. 


Berörda versioner

Produkt Spår Berörda versioner Plattform
Acrobat DC  Continuous 

2020.012.20048 och tidigare versioner          
Windows och macOS
Acrobat Reader DC Continuous  2020.012.20048 och tidigare versioner          
Windows och macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 och tidigare versioner
Windows och macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 och tidigare versioner
Windows och macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 och tidigare versioner          
Windows och macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 och tidigare versioner          
Windows och macOS

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Produkt Spår Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC Continuous 2020.013.20064 Windows och macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows och macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows och macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows och macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows och macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows och macOS 2

Windows

macOS

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Stackbaserat buffertspill
Exekvering av godtycklig kod           
Kritisk 

CVE-2020-24435

Felaktig åtkomstkontroll Lokal eskalering av behörigheter 
Viktig
CVE-2020-24433
Felaktig validering av indata Exekvering av godtyckligt JavaScript
Viktig
CVE-2020-24432
Åsidosättning av signaturvalidering
Minimal (djupförsvarsåtgärd)
Måttlig
CVE-2020-24439
Åsidosättning av signaturverifiering Lokal eskalering av behörigheter
Viktig 
CVE-2020-24429
Felaktig validering av indata Informationsexponering   
Viktig 
CVE-2020-24427
Åsidosättning av säkerhetsfunktion Dynamisk biblioteksinjektion
Viktig 
CVE-2020-24431
Överskridning av skrivningsgränser   
Exekvering av godtycklig kod       
Kritisk 
CVE-2020-24436
Överskridning av läsningsgränser   
Informationsexponering   
Måttlig

CVE-2020-24426

CVE-2020-24434

Konkurrenstillstånd Lokal eskalering av behörigheter
Viktig 
CVE-2020-24428
Use-after-free     
Exekvering av godtycklig kod       
Kritisk 

CVE-2020-24430

CVE-2020-24437

Use-after-free
Informationsexponering
Måttlig
CVE-2020-24438

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:    

  • Kimiya i samarbete med Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) i samarbete med Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) från Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade från Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup på Danish Cyber Defense (CVE-2020-24433)
  • Aleksandar Nikolic från Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Hou JingYi (@hjy79425575) från Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze på STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka och Jörg Schwenk från Ruhr University Bochum, Chair for Network and Data Security (CVE-2020-24432)