Adobe Acrobat和Reader是美國(guó)Adobe公司PDF文檔軟件，Adobe Reader免費(fèi)使用，可查閱PDF文檔，無法進(jìn)行修改加水印等編輯操作，而Adobe Acrobat則是收費(fèi)的，除了基本查閱PDF外，可進(jìn)行高級(jí)編輯操作。

11月3日，Adobe為 Acrobat和Reader發(fā)布了緊急安全更新，這些更新解決了被評(píng)為危急和重要等任意代碼執(zhí)行漏洞 。以下是漏洞詳情：

漏洞詳情

來源：

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

1.CVE-2020-24435 嚴(yán)重程度：危急

該漏洞主要是由于基于堆的緩沖區(qū)溢出引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

2.CVE-2020-24436 嚴(yán)重程度：危急

該漏洞主要是由于越界寫操作引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

3.CVE-2020-24430，CVE-2020-24437 嚴(yán)重程度：危急

該漏洞主要是釋放后重用（Use-after-free）引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

4.CVE-2020-24433 嚴(yán)重程度：重要

該漏洞主要是訪問控制不當(dāng)引起的，成功利用此漏洞可導(dǎo)致本地特權(quán)升級(jí)

5.CVE-2020-24432 嚴(yán)重程度：重要

該漏洞主要是輸入驗(yàn)證不正確引起的，成功利用此漏洞可導(dǎo)致任意JavaScript執(zhí)行

6.CVE-2020-24429 嚴(yán)重程度：重要

該漏洞主要是由于簽名驗(yàn)證繞過引起的，成功利用此漏洞可導(dǎo)致本地特權(quán)升級(jí)

7.CVE-2020-24427 嚴(yán)重程度：重要

該漏洞主要是輸入驗(yàn)證不正確引起的，成功利用此漏洞可導(dǎo)致敏感信息泄露

8.CVE-2020-24431 嚴(yán)重程度：重要

該漏洞主要是由于安全功能繞過引起的，會(huì)導(dǎo)致動(dòng)態(tài)庫(kù)注入攻擊（動(dòng)態(tài)庫(kù)注入是指在程序啟動(dòng)或運(yùn)行的時(shí)候，通過某種手段加載另一套接口庫(kù)，替換原有依賴庫(kù)中的函數(shù)。這樣可以達(dá)到改變程序功能而又不對(duì)原有代碼進(jìn)行修改的目的）

受影響的產(chǎn)品版本

Windows和macOS平臺(tái)：

Acrobat DC 和 Acrobat Reader DC：2020.012.20048及更早版本

Acrobat 2017和Acrobat Reader 2017 ：2017.011.30175及更早版本

Acrobat 2020和Acrobat Reader 2020 ：2020.001.30005及更早版本

解決方案

Windows和macOS平臺(tái)：

對(duì)于 Acrobat DC 和 Acrobat Reader DC： 應(yīng)用2020.013.20064升級(jí)補(bǔ)丁修復(fù)

對(duì)于 Acrobat 2017和Acrobat Reader 2017： 應(yīng)用2017.011.30180升級(jí)補(bǔ)丁修復(fù)

對(duì)于 Acrobat 2020和Acrobat Reader 2020： 應(yīng)用2020.001.30010升級(jí)補(bǔ)丁修復(fù)

Adobe建議用戶按照以下說明將其軟件安裝更新到最新版本。

最新的產(chǎn)品版本可通過以下方法之一提供給最終用戶：

用戶可以通過選擇幫助》檢查更新來手動(dòng)更新其產(chǎn)品安裝。

檢測(cè)到更新后，產(chǎn)品將自動(dòng)更新，而無需用戶干預(yù)。

可以從Acrobat Reader下載中心下載完整的Acrobat Reader安裝程序?。

對(duì)于IT管理員（托管環(huán)境）：

從ftp://ftp.adobe.com/pub/adobe/下載企業(yè)安裝程序?，或參考特定的發(fā)行說明版本以獲取安裝程序的鏈接。

通過首選的方法（例如AIP-GPO，引導(dǎo)程序，SCUP / SCCM（Windows））或在macOS，Apple Remote Desktop和SSH上安裝更新。

責(zé)任編輯：PSY