Adobe Acrobat 和 Reader軟件發(fā)現(xiàn)任意代碼執(zhí)行漏洞，需盡快升級

Adobe Acrobat和Reader是美國Adobe公司PDF文檔軟件，Adobe Reader免費使用，可查閱PDF文檔，無法進行修改加水印等編輯操作，而Adobe Acrobat則是收費的，除了基本查閱PDF外，可進行高級編輯操作。

11月3日，Adobe為 Acrobat和Reader發(fā)布了緊急安全更新，這些更新解決了被評為危急和重要等任意代碼執(zhí)行漏洞 。以下是漏洞詳情：

漏洞詳情

來源：

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

1.CVE-2020-24435 嚴重程度：危急

該漏洞主要是由于基于堆的緩沖區(qū)溢出引起的，成功利用此漏洞可導致任意代碼執(zhí)行。

2.CVE-2020-24436 嚴重程度：危急

該漏洞主要是由于越界寫操作引起的，成功利用此漏洞可導致任意代碼執(zhí)行。

3.CVE-2020-24430，CVE-2020-24437 嚴重程度：危急

該漏洞主要是釋放后重用(Use-after-free)引起的，成功利用此漏洞可導致任意代碼執(zhí)行。

4.CVE-2020-24433 嚴重程度：重要

該漏洞主要是訪問控制不當引起的，成功利用此漏洞可導致本地特權(quán)升級

5.CVE-2020-24432 嚴重程度：重要

該漏洞主要是輸入驗證不正確引起的，成功利用此漏洞可導致任意JavaScript執(zhí)行

6.CVE-2020-24429 嚴重程度：重要

該漏洞主要是由于簽名驗證繞過引起的，成功利用此漏洞可導致本地特權(quán)升級

7.CVE-2020-24427 嚴重程度：重要

該漏洞主要是輸入驗證不正確引起的，成功利用此漏洞可導致敏感信息泄露

8.CVE-2020-24431 嚴重程度：重要

該漏洞主要是由于安全功能繞過引起的，會導致動態(tài)庫注入攻擊（動態(tài)庫注入是指在程序啟動或運行的時候，通過某種手段加載另一套接口庫，替換原有依賴庫中的函數(shù)。這樣可以達到改變程序功能而又不對原有代碼進行修改的目的）

受影響的產(chǎn)品版本

Windows和macOS平臺：

Acrobat DC 和 Acrobat Reader DC：2020.012.20048及更早版本?????????

Acrobat 2017和Acrobat Reader 2017 ：2017.011.30175及更早版本

Acrobat 2020和Acrobat Reader 2020 ：2020.001.30005及更早版本

解決方案

Windows和macOS平臺：

對于 Acrobat DC 和 Acrobat Reader DC： 應(yīng)用2020.013.20064升級補丁修復(fù)

對于 Acrobat 2017和Acrobat Reader 2017： 應(yīng)用2017.011.30180升級補丁修復(fù)

對于 Acrobat 2020和Acrobat Reader 2020： 應(yīng)用2020.001.30010升級補丁修復(fù)

Adobe建議用戶按照以下說明將其軟件安裝更新到最新版本。????

最新的產(chǎn)品版本可通過以下方法之一提供給最終用戶：????

用戶可以通過選擇幫助>檢查更新來手動更新其產(chǎn)品安裝。?????

檢測到更新后，產(chǎn)品將自動更新，而無需用戶干預(yù)。?????

可以從Acrobat Reader下載中心下載完整的Acrobat Reader安裝程序?。?????

對于IT管理員（托管環(huán)境）：?????

從ftp://ftp.adobe.com/pub/adobe/下載企業(yè)安裝程序?，或參考特定的發(fā)行說明版本以獲取安裝程序的鏈接。?????

通過首選的方法（例如AIP-GPO，引導程序，SCUP / SCCM（Windows））或在macOS，Apple Remote Desktop和SSH上安裝更新。????

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。