發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB20-05
安全性公告 ID 發佈日期 優先順序
APSB20-05 2020 年 2 月 11 日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重大重要中度弱點。這些弱點一旦遭有心人士利用,可能導致使用過程中,系統發生任意執行程式碼的問題。


受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2019.021.20061 及舊版  Windows 和 macOS
Acrobat Reader DC Continuous   2019.021.20061 及舊版  Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 及舊版  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 及舊版 macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 及舊版 Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 及舊版 Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2020.006.20034 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2020.006.20034
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
超出範圍讀取   資訊揭露 重要 

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

堆積溢位  任意執行程式碼 重大 CVE-2020-3742
緩衝區錯誤 任意執行程式碼 重大

CVE-2020-3752

CVE-2020-3754    

使用釋放後記憶體 (Use After Free) 任意執行程式碼 重大

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

堆疊消耗    
記憶體流失    
中度    

CVE-2020-3753

CVE-2020-3756  

權限竊取 檔案系統任意寫入 重大

CVE-2020-3762

CVE-2020-3763

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 奇虎 360 科技有限公司成都安全應變中心的 Zhiyuan Wang 和 willJ (CVE-2020-3747)
  • 騰訊安全玄武實驗室的 Ke Liu (CVE-2020-3755)
  • 中國人民大學的 Xinyu Wan、Yiwei Zhang 和 Wei You (CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、CVE-2020-3749、CVE-2020-3750、CVE-2020-3752、CVE-2020-3754)
  • 來自中國科學院軟體研究所 TCA/SKLCS 並與趨勢科技零時差漏洞懸賞計畫合作的 Xu Peng 和 Su Purui (CVE-2020-3748)
  • Cisco Talos 的 Aleksandar Nikolic(CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow (CVE-2020-3742)
  • 百度安全實驗室的 Haiku Xie  (CVE-2020-3756, CVE-2020-3753)
  • McAfee 的 Sooraj K S (@soorajks) (CVE-2020-3751)
  • 與 iDefense Labs 合作的 Csaba Fitzl (@theevilbit) (CVE-2020-3762、CVE-2020-3763)