Бюллетень безопасности Adobe

Обновление системы безопасности для Adobe Acrobat и Reader  | APSB24-29

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB24-29

14 мая 2024 г.

3

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и macOS. Это обновление позволяет устранить  критическиеважные и средние  уязвимости. При успешном использовании это может привести к выполнению произвольного кода и утечке памяти.

Затронутые версии

Продукт

Отслеживать

Затронутые версии

Платформа

Acrobat DC 

Continuous 

24.002.20736 и более ранние версии

Windows и  macOS

Acrobat Reader DC

Continuous 

24.002.20736 и более ранние версии

 

Windows и macOS




     

Acrobat 2020

Classic 2020           

20.005.30574 и более ранние версии

 

Windows и macOS

Acrobat Reader 2020

Classic 2020           

20.005.30574 и более ранние версии

Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

  • Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.

  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

   

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Продукт

Отслеживать

Обновленные версии

Платформа

Рейтинг приоритета

Доступность

Acrobat DC

Continuous

24.002.20759

Windows и macOS

3

Acrobat Reader DC

Continuous

24.002.20759

Windows и macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

Win: 20.005.30636

Mac: 20.005.30635

Windows и MacOS  

3

Acrobat Reader 2020

Classic 2020 

Win: 20.005.30636

Mac: 20.005.30635
 

Windows  и MacOS 

3

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Базовая оценка CVSS Вектор CVSS Номер CVE
Запись вне границ буфера (CWE-787)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30279
Чтение за пределами буфера (CWE-125)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30280
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30284
Запись вне границ буфера (CWE-787)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-30310
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34094
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34095
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-34096
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-34097
Неправильная проверка ввода (CWE-20)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34098
Неправильный контроль доступа (CWE-284)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34099
Использование данных после освобождения памяти (CWE-416)
Выполнение произвольного кода
Критическая
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2024-34100
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-30311
Чтение за пределами буфера (CWE-125)
Утечка памяти
Важная 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2024-30312
Чтение за пределами буфера (CWE-125)
Утечка памяти Средняя 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2024-34101

Благодарности

Компания Adobe выражает благодарность следующим пользователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:   

  • Марк Винсент Ясон (markyason.github.io) работает с Trend Micro Zero Day Initiative: CVE-2024-30284, CVE-2024-34094, CVE-2024-34095, CVE-2024-34096, CVE-2024-34097
  • Циско Талос (ciscotalos):  CVE-2024-30311, CVE-2024-30312
  • Бобби Гулд из Trend Micro Zero Day Initiative: CVE-2024-30310, CVE-2024-34101
  • АбдулАзиз Харири (@abdhariri) из Haboob SA (@HaboobSa): CVE-2024-34098, CVE-2024-34099
  • Анонимный пользователь, участник программы Trend Micro Zero Day Initiative:  CVE-2024-30279, CVE-2024-30280
  • Суюэ Го и Вэй Ю, представители Китайского народного университета (ruc_se_sec): CVE-2024-34100

Редакции:

22 мая 2024 года: добавлены CVE-2024-30279 и CVE-2024-30280


ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?