Adobe Acrobat 和 Reader 發佈安全性更新 | APSB20-48
安全性公告 ID 發佈日期 優先順序
APSB20-48 2020 年 8 月 11 日 2

摘要

Adobe 已發佈 Windows 和 macOS 作業系統專用的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決重大重要弱點。這些弱點一旦遭有心人士利用,可能導致使用過程中,系統發生任意執行程式碼的問題。


受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2020.009.20074 (含) 以前版本
Windows 和 macOS
Acrobat Reader DC Continuous  2020.009.20074 (含) 以前版本
Windows 和 macOS
       
Acrobat 2020
Classic 2020           
2020.001.30002
Windows 和 macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30002
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30171 (含) 以前版本
Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30171 (含) 以前版本
Windows 和 macOS
       
Acrobat 2015  Classic 2015 2015.006.30523 (含) 以前版本
Windows 和 macOS
Acrobat Reader 2015 Classic 2015 2015.006.30523 (含) 以前版本
Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous 2020.012.20041 Windows 和 macOS 2

Windows

macOS  

Acrobat Reader DC Continuous 2020.012.20041
Windows 和 macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30005
Windows 和 macOS     
2

Windows

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30005
Windows 和 macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30175 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30175 Windows 和 macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30527 Windows 和 macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30527 Windows 和 macOS 2

Windows

macOS

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
敏感資料外洩
記憶體流失
重要

CVE-2020-9697

安全性略過 
權限提升 
重要
CVE-2020-9714
超出範圍寫入 任意執行程式碼 重大

CVE-2020-9693

CVE-2020-9694

安全性略過 安全功能無故略過 重大 

CVE-2020-9696

CVE-2020-9712

堆疊消耗 應用程式阻絕服務 重要

CVE-2020-9702

CVE-2020-9703

超出範圍讀取 資訊洩漏 重要

CVE-2020-9723

CVE-2020-9705

CVE-2020-9706

CVE-2020-9707

CVE-2020-9710

CVE-2020-9716

CVE-2020-9717

CVE-2020-9718

CVE-2020-9719

CVE-2020-9720

CVE-2020-9721

緩衝錯誤 任意執行程式碼 重大

CVE-2020-9698

CVE-2020-9699

CVE-2020-9700

CVE-2020-9701

CVE-2020-9704

使用已釋放記憶體    任意執行程式碼 重大

CVE-2020-9715

CVE-2020-9722

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題,與 Adobe 共同保護客戶安全:

  • 與趨勢科技零時差漏洞懸賞計畫合作的匿名人士 (CVE-2020-9693、CVE-2020-9694) 
  • 奇虎 360 Vulcan Team 的 Steven Seeley (CVE-2020-9723)
  • 趨勢科技零時差漏洞懸賞計畫的 Abdul-Aziz Hariri (CVE-2020-9697、CVE-2020-9706、CVE-2020-9707、CVE-2020-9710、CVE-2020-9712)
  • 任職於 Offensive Security 並與 iDefense Labs 合作的 Csaba Fitzl (@theevilbit) (CVE-2020-9714)
  • 北卡羅來納州立大學的 Kyle Martin、亞歷桑那州立大學的 Sung Ta Dinh、亞歷桑那州立大學的 Haehyun Cho、亞歷桑那州立大學的 Ruoyu “Fish” Wang、北卡羅來納州立大學的 Alexandros Kapravelos (CVE-2020-9722)
  • Palo Alto Networks 的 Ken Hsu(CVE-2020-9695)
  • 奇虎 360 CDSRC 的 Zhangqing、Zhiyuan Wang 和 willJ (CVE-2020-9716、CVE-2020-9717、CVE-2020-9718、CVE-2020-9719、CVE-2020-9720、CVE-2020-9721)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Mark Vincent Yason (@MarkYason) (CVE-2020-9715)
  • 中國人民大學的 Xinyu Wan、Yiwei Zhang 和 Wei You (CVE-2020-9705、CVE-2020-9711、CVE-2020-9713)
  • 中國科學院軟件研究所 TCA/SKLCS 的 Xu Peng,以及奇安信技術研究院的 Wang Yanhao (CVE-2020-9698、CVE-2020-9699、CVE-2020-9700、CVE-2020-9701、CVE-2020-9702、CVE-2020-9703、CVE-2020-9704)
  • 騰訊安全玄武實驗室的 Yuebin Sun(@yuebinsun) (CVE-2020-9696)