Adobe | Acrobat & Reader多个安全漏洞通告
发布时间 2020-11-040x00 漏洞概述
2020年11月03日,Adobe发布了关于Adobe Acrobat和Reader的14个安全更新,其中包括多个任意代码执行漏洞。Adobe表示目前还没有发现任何关于这些漏洞的野外攻击事件。
0x01 漏洞详情
Adobe Acrobat和Adobe Reader都是Adobe官方出品的PDF文档解决方案套件。Adobe Reader 是用于打开和使用在 Adobe Acrobat中创建的 Adobe PDF 的工具,虽然无法在 Reader 中创建 PDF,但是可以使用 Reader查看、打印和管理 PDF。
在本次发布的安全更新中,有4个漏洞被评为高危,6个漏洞被评为中危,4个漏洞评级为低危。详情如下:
CVE ID | 类 型 | 漏洞影响 | 严重程度 |
CVE-2020-24427 | 输入验证不正确 | 信息泄露 | 中危 |
CVE-2020-24429 | 签名验证绕过 | 本地权限升级 | 中危 |
CVE-2020-24426 CVE-2020-24434 | 越界读取 | 信息泄露 | 低危 |
CVE-2020-24428 | Race Condition | 本地权限升级 | 中危 |
CVE-2020-24430 CVE-2020-24437 | Use-after-free | 任意代码执行 | 高危 |
CVE-2020-24431 | 安全功能绕过 | 动态库注入 | 中危 |
CVE-2020-24432 | 输入验证不正确 | 任意JavaScript执行 | 中危 |
CVE-2020-24433 | 访问控制不当 | 本地权限升级 | 中危 |
CVE-2020-24435 | 基于堆的缓冲区溢出 | 任意代码执行 | 高危 |
CVE-2020-24436 | 越界写入 | 任意代码执行 | 高危 |
CVE-2020-24438 | Use-after-free | 信息泄露 | 低危 |
CVE-2020-24439 | 签名验证绕过 | 最小(纵深防御修复) | 低危 |
影响范围:
Windows版本和MacOS版本:Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017和Acrobat Reader 2017。
0x02 处置建议
目前Adobe官方已经发布安全版本,建议及时升级更新。
产品 | 更新版本 | 平台 | 下载链接 |
Acrobat DC | 2020.013.20064 | Windows and macOS | Windows : https://supportdownloads.adobe.com/product.1&platform=Windows macOS : https://supportdownloads.adobe.com/product.1&platform=Mac |
Acrobat Reader DC | 2020.013.20064 | Windows and macOS | Windows: https://supportdownloads.adobe.com/product.10&platform=Windows https://supportdownloads.adobe.com/product.10&platform=Mac |
Acrobat 2020 | 2020.001.30010 | Windows and macOS | Windows: https://supportdownloads.adobe.com/product.1&platform=Windows macOS : https://supportdownloads.adobe.com/product.1&platform=Mac |
Acrobat Reader 2020 | 2020.001.30010 | Windows and macOS | Windows: https://supportdownloads.adobe.com/product.10&platform=Windows https://supportdownloads.adobe.com/product.10&platform=Mac |
Acrobat 2017 | 2017.011.30180 | Windows and macOS | Windows: https://supportdownloads.adobe.com/product.1&platform=Windows macOS: https://supportdownloads.adobe.com/product.1&platform=Mac |
Acrobat Reader 2017 | 2017.011.30180 | Windows and macOS | Windows: https://supportdownloads.adobe.com/product.10&platform=Windows macOS: https://supportdownloads.adobe.com/product.10&platform=Mac |
下载地址:
https://get2.adobe.com/cn/reader/
0x03 参考链接
https://helpx.adobe.com/security/products/acrobat/apsb20-67.html
https://securityaffairs.co/wordpress/110363/security/adobe-acrobat-products-flaws.html?
https://threatpost.com/adobe-windows-macos-critical-acrobat-reader-flaws/160903/
0x04 时间线
2020-11-03 Adobe发布安全公告
2020-11-04 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号