Adobe Acrobat ve Reader için Güvenlik Güncellemeleri Mevcut | APSB20-67
Bülten No Yayınlandığı Tarih Öncelik
APSB20-67 03 Kasım 2020 2

Özet

Adobe Windows ve macOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, kritikönemli ve orta dereceli güvenlik açıklarını giderir. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir. 


Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform
Acrobat DC  Continuous 

2020.012.20048 ve önceki sürümleri          
Windows & macOS
Acrobat Reader DC Continuous  2020.012.20048 ve önceki sürümleri          
Windows & macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 ve önceki sürümler
Windows & macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 ve önceki sürümler
Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 ve önceki sürümleri          
Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 ve önceki sürümleri          
Windows & macOS

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     

  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.      

  • Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.   

IT yöneticileri için (yönetilen ortamlar):     

  • Kuruluş yükleyicilerini ftp://ftp.adobe.com/pub/adobe/ adresinden indirin veya yükleyicilere olan bağlantılar için özel sürüm notu sürümüne bakın.

  • AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin. 

   

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Continuous 2020.013.20064 Windows ve macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows ve macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows ve macOS
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows ve macOS
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows ve macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows ve macOS 2

Windows

macOS

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Yığın tabanlı arabellek aşımı
Rastgele Kod Yürütme           
Kritik 

CVE-2020-24435

Uygunsuz erişim kontrolü Yerel öncelik artırma 
Önemli
CVE-2020-24433
Uygunsuz giriş doğrulama Gelişigüzel JavaScript Yürütme
Önemli
CVE-2020-24432
İmza doğrulama atlatma
Minimal (derinlemesine savunma çözümü)
Orta Dereceli
CVE-2020-24439
İmza doğrulama atlatma Yerel öncelik artırma
Önemli 
CVE-2020-24429
Uygunsuz giriş doğrulama Bilgilerin Açığa Çıkması   
Önemli 
CVE-2020-24427
Güvenlik özelliği atlatması Dinamik kütüphane enjeksiyonu
Önemli 
CVE-2020-24431
Sınır dışı yazma   
Rastgele Kod Yürütme       
Kritik 
CVE-2020-24436
Sınır dışı okuma   
Bilgilerin Açığa Çıkması   
Orta Dereceli

CVE-2020-24426

CVE-2020-24434

Yarış Koşulları Yerel öncelik artırma
Önemli 
CVE-2020-24428
Kullanım-sonrası-serbest     
Rastgele Kod Yürütme       
Kritik 

CVE-2020-24430

CVE-2020-24437

Kullanım-sonrası-serbest
Bilgilerin Açığa Çıkması
Orta Dereceli
CVE-2020-24438

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:    

  • Trend Micro Zero Day Initiative ile birlikte çalışan Kimiya (CVE-2020-24434, CVE-2020-24436)
  • Trend Micro Zero Day Initiative (CVE-2020-24426) ile çalışan Mark Vincent Yason (CVE-2020-24438)
  • Yuebin Sun(@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Bilgisayar Araştırma Bölümünden Thijs Alkemade(CVE-2020-24428, CVE-2020-24429)
  • Danimarka Siber Savunma bölümünden Lasse Trolle (CVE-2020-24433)
  • Cisco Talos'tan Aleksandar Nikolic (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Qihoo 360 CERT(CVE-2020-24431)'dan Hou JingYi (@hjy79425575)
  • STAR Labs'den Alan Chang Enze (CVE-2020-24430)
  • Ruhr Üniversitesi Bochum, Ağ ve Veri Güvenliği Başkanlığından Simon Rohlmann, Vladislav Mladenov, Christian Mainka ve Jörg Schwenk (CVE-2020-24432)