Бюллетень безопасности Adobe

Обновление системы безопасности для Adobe Acrobat и Reader  | APSB24-07

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB24-07

13 февраля 2024 г.

3

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и macOS. В этом обновлении устранены критические и важные уязвимости. Их использование могло привести к выполнению произвольного кода, отказу в обслуживании приложения и утечке памяти.     

Затронутые версии

Продукт

Отслеживать

Затронутые версии

Платформа

Acrobat DC 

Continuous 

23.008.20470 и более ранние версии

Windows и  macOS

Acrobat Reader DC

Continuous 

23.008.20470 и более ранние версии

 

Windows и macOS




     

Acrobat 2020

Classic 2020           

20.005.30539 и более ранние версии

 

Windows и macOS

Acrobat Reader 2020

Classic 2020           

20.005.30539 и более ранние версии

Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Продукт

Отслеживать

Обновленные версии

Платформа

Рейтинг приоритета

Доступность

Acrobat DC

Continuous

23.008.20533

Windows и macOS

3

Acrobat Reader DC

Continuous

23.008.20533

Windows и macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30574

Windows и MacOS  

3

Acrobat Reader 2020

Classic 2020 

20.005.30574
 

Windows  и MacOS 

3

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Базовая оценка CVSS Вектор CVSS Номер CVE
Запись вне границ буфера (CWE-787)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-20726
Запись вне границ буфера (CWE-787)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-20727
Запись вне границ буфера (CWE-787)
Выполнение произвольного кода
Критическая
7.8  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 
CVE-2024-20728
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30301
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30303
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-30304
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-30305
Чтение за пределами буфера (CWE-125)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30306
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-20729
Переполнение целого числа или циклический возврат (CWE-190)
Выполнение произвольного кода
Критическая 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-20730
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-20731
Использование данных после освобождения памяти (CWE-416) Выполнение произвольного кода Критическая 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-20765
Использование данных после освобождения памяти (CWE-416)
Утечка памяти Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-30302
Неправильная проверка ввода (CWE-20)
Отказ в обслуживании приложения
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2024-20733
Использование данных после освобождения памяти (CWE-416)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20734
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20735
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20736
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20747
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20748
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-20749

Благодарности

Компания Adobe выражает благодарность следующим пользователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:   

  • Cisco Talos (ciscotalos) —  CVE-2024-20729, CVE-2024-20730, CVE-2024-20731, CVE-2024-20735, CVE-2024-20747, CVE-2024-20748, CVE-2024-20749
  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative — CVE-2024-20728, CVE-2024-20734, CVE-2024-20736, CVE-2024-20765
  • Марк Винсент Ясон работает в рамках Trend Micro Zero Day Initiative - CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305, CVE-2024-30306
  • Кай Лу из Zscaler ThreatLabz — CVE-2024-20733

Редакции:

2 мая 2024 г.: добавлены CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305 и CVE-2024-30306

28 февраля 2024 г.: добавлены сведения о CVE-2024-20765

20 февраля 2024 г.: обновлена благодарность за сообщение о проблеме CVE-2024-20733


ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?