Бюллетень безопасности Adobe

Поиск

Последнее обновление 29 мая 2024 г.

Обновление системы безопасности для Adobe Acrobat и Reader | APSB24-29

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB24-29	14 мая 2024 г.	3

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и macOS. Это обновление позволяет устранить  критические, важные и средние  уязвимости. При успешном использовании это может привести к выполнению произвольного кода и утечке памяти.

Затронутые версии

Продукт	Отслеживать	Затронутые версии	Платформа
Acrobat DC	Continuous	24.002.20736 и более ранние версии	Windows и macOS
Acrobat Reader DC	Continuous	24.002.20736 и более ранние версии	Windows и macOS

Acrobat 2020	Classic 2020	20.005.30574 и более ранние версии	Windows и macOS
Acrobat Reader 2020	Classic 2020	20.005.30574 и более ранние версии	Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.     
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):     

Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Продукт	Отслеживать	Обновленные версии	Платформа	Рейтинг приоритета	Доступность
Acrobat DC	Continuous	24.002.20759	Windows и macOS	3	Сведения о выпуске
Acrobat Reader DC	Continuous	24.002.20759	Windows и macOS	3	Сведения о выпуске

Acrobat 2020	Classic 2020	Win: 20.005.30636 Mac: 20.005.30635	Windows и MacOS	3	Сведения о выпуске
Acrobat Reader 2020	Classic 2020	Win: 20.005.30636 Mac: 20.005.30635	Windows  и MacOS	3	Сведения о выпуске

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Базовая оценка CVSS	Вектор CVSS	Номер CVE
Запись вне границ буфера (CWE-787)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30279
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30280
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30284
Запись вне границ буфера (CWE-787)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30310
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34094
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34095
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34096
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34097
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34098
Неправильный контроль доступа (CWE-284)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34099
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-34100
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-30311
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-30312
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2024-34101

Благодарности

Компания Adobe выражает благодарность следующим пользователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:   

Марк Винсент Ясон (markyason.github.io) работает с Trend Micro Zero Day Initiative: CVE-2024-30284, CVE-2024-34094, CVE-2024-34095, CVE-2024-34096, CVE-2024-34097
Циско Талос (ciscotalos): CVE-2024-30311, CVE-2024-30312
Бобби Гулд из Trend Micro Zero Day Initiative: CVE-2024-30310, CVE-2024-34101
АбдулАзиз Харири (@abdhariri) из Haboob SA (@HaboobSa): CVE-2024-34098, CVE-2024-34099
Анонимный пользователь, участник программы Trend Micro Zero Day Initiative: CVE-2024-30279, CVE-2024-30280
Суюэ Го и Вэй Ю, представители Китайского народного университета (ruc_se_sec): CVE-2024-34100

Редакции:

22 мая 2024 года: добавлены CVE-2024-30279 и CVE-2024-30280

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.