Бюллетень безопасности Adobe

Бюллетень безопасности Adobe

Поиск
Руководство пользователя

На этой странице

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB20-67
Идентификатор бюллетеня Дата публикации Приоритет
APSB20-67 03 ноября 2020 г. 2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критическиеважные и средние уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя. 


Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC  Continuous 

 2020.012.20048 и более ранние версии
 Windows и macOS
Acrobat Reader DC Continuous  2020.012.20048 и более ранние версии
 Windows и macOS
       
Acrobat 2020
 Classic 2020           
 2020.001.30005 и более ранние версии
 Windows и macOS
Acrobat Reader 2020
 Classic 2020           
 2020.001.30005 и более ранние версии
 Windows и macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 и более ранние версии          
 Windows и macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 и более ранние версии          
 Windows и macOS

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или см. ссылки на установщики соответствующих версий в замечаниях к выпуску.     

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2020.013.20064 Windows и macOS 2

Windows    

macOS  
Acrobat Reader DC Continuous 2020.013.20064
 Windows и macOS 2

Windows


macOS
           
Acrobat 2020
 Classic 2020           
 2020.001.30010
 Windows и macOS     
 2

Windows    

macOS  
Acrobat Reader 2020
 Classic 2020           
 2020.001.30010
 Windows и macOS     
 2

Windows


macOS
           
Acrobat 2017 Classic 2017 2017.011.30180 Windows и macOS 2

Windows

macOS
Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows и macOS 2

Windows

macOS

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Переполнение буфера на основе кучи
 Выполнение произвольного кода           
 Критическая 

CVE-2020-24435
Несоответствующий контроль доступа Расширение локальных привилегий 
 Важная
 CVE-2020-24433
Проверка неправильного ввода Выполнение произвольного скрипта JavaScript
 Важная
 CVE-2020-24432
Обход проверки сигнатуры
 Минимальное (исправление защиты, состоящей из нескольких рубежей)
 Средняя
 CVE-2020-24439
Обход проверки подписи Расширение локальных привилегий
 Важная 
 CVE-2020-24429
Проверка неправильного ввода Раскрытие информации   
 Важная 
 CVE-2020-24427
Обход функции безопасности Добавление динамической библиотеки
Важная 
 CVE-2020-24431
Запись за пределами буфера   
 Выполнение произвольного кода       
 Критическая 
 CVE-2020-24436
Чтение за пределами буфера   
 Раскрытие информации   
 Средняя

CVE-2020-24426

CVE-2020-24434
Состояние гонки Расширение локальных привилегий
 Важная 
 CVE-2020-24428
Использование освобожденной памяти     
 Выполнение произвольного кода       
 Критическая 

CVE-2020-24430

CVE-2020-24437
Использование освобожденной памяти
 Раскрытие информации
 Средняя
 CVE-2020-24438

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:    

  • Кимия, участник программы Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Марк Винцент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438) 
  • Юэбинь Сунь (@yuebinsun), Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Фийс Алкеманде, научно-исследовательское подразделение Computest (CVE-2020-24428, CVE-2020-24429)
  • Лассе Тролл Боруп, Danish Cyber Defence (CVE-2020-24433)
  • Александр Николич, Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.( CVE-2020-24427)
  • Хоу Цзинъи (@hjy79425575), Qihoo 360 CERT(CVE-2020-24431)
  • Алан Чанг Энце, STAR Labs (CVE-2020-24430)
  • Саймон Ролман, Владислав Младенов, Кристиан Маинка и Йорг Швенк, Рурский университет в Бохуме, председатель совета директоров Network and Data Security (CVE-2020-24432)