发布时间:2020-02-13 15:46:54,来源:中国信息通信研究院
一、内容概述
近日,监测发现Adobe官方发布了2月份产品安全更新。本次更新供包含5个安全公告分别针对Framemaker,Experiment Manager,Adobe Digital Editions,Flash,Acrobat和Reader中的42个CVE。具体情况如下:
Framemaker更新修复了21个严重漏洞,其中绝大多数漏洞可能导致越界写(OOB)。
Adobe Acrobat和Reader的更新修复了17个漏洞,其中七个是UAF漏洞,这些漏洞中最严重的漏洞可以在用户打开特制的文件后造成远程代码执行。
Flash更新修复了一个单一类型的混淆漏洞,该漏洞可能允许登录后的用户执行任意代码。
Adobe Digital Editions的修补程序修复了2个漏洞,其中一个漏洞可能会造成代码注入漏洞,从而导致攻击者远程执行任意代码。
Experience Manager更新修复了一个拒绝服务漏洞。
二、详细说明
Adobe各产品漏洞细则如下:
Adobe Framemaker
漏洞细则 | 漏洞影响 | 严重程度 | CVE编号 |
缓冲区错误 | 任意代码执行 | 严重 | CVE-2020-3734 |
堆溢出 | 任意代码执行 | 严重 | CVE-2020-3731、CVE-2020-3735 |
内存损坏 | 任意代码执行 | 严重 | CVE-2020-3739、CVE-2020-3740 |
越界写 | 任意代码执行 | 严重 | CVE-2020-3720、CVE-2020-3721、CVE-2020-3722、 CVE-2020-3723、CVE-2020-3724、CVE-2020-3725、 CVE-2020-3726、CVE-2020-3727、CVE-2020-3728、 CVE-2020-3729、CVE-2020-3730、CVE-2020-3732、 CVE-2020-3733、CVE-2020-3736、CVE-2020-3737、 CVE-2020-3738 |
Adobe Acrobat和Reader
漏洞细则 | 漏洞影响 | 严重程度 | CVE编号 |
越界读 | 信息泄露 | 重大 | CVE-2020-3744、CVE-2020-3747、CVE-2020-3755 |
堆溢出 | 任意代码执行 | 严重 | CVE-2020-3742 |
缓冲区错误 | 任意代码执行 | 严重 | CVE-2020-3752、CVE-2020-3754 |
释放重引用 (UAF) | 任意代码执行 | 严重 | CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、 CVE-2020-3748、CVE-2020-3749、CVE-2020-3750、 CVE-2020-3751 |
内存耗尽 | 内存泄漏 | 中等 | CVE-2020-3753、CVE-2020-3756 |
特权提升 | 任意文件写 | 严重 | CVE-2020-3762、CVE-2020-3763 |
Adobe Flash Player
漏洞细则 | 漏洞影响 | 严重程度 | CVE编号 |
类型混乱 | 任意代码执行 | 严重 | CVE-2020-3757 |
Adobe Digital Editions
漏洞细则 | 漏洞影响 | 严重程度 | CVE编号 |
缓冲区错误 | 信息泄露 | 重大 | CVE-2020-3759 |
命令注入 | 任意代码执行 | 严重 | CVE-2020-3760 |
Adobe Experience Manager
漏洞细则 | 漏洞影响 | 严重程度 | CVE编号 | 影响版本 |
不受控制的资源消耗 | 拒绝服务 | 重大 | CVE-2020-3741 | AEM 6.4、AEM 6.5 |
三、影响范围
受影响版本:
产品 | 版本 | 平台 |
Adobe Framemaker | 2019.0.4及以下 | Windows |
Acrobat DC | 2019.021.20061及更早版本 | Windows & macOS |
Acrobat Reader DC | 2019.021.20061及更早版本 | Windows & macOS |
Acrobat 2017 | 2017.011.30156及更早版本 | Windows |
Acrobat Reader 2017 | 2017.011.30156及更早版本 | macOS |
Acrobat 2015 | 2015.006.30508及更早版本 | Windows & macOS |
Acrobat Reader 2015 | 2015.006.30508及更早版本 | Windows & macOS |
Adobe Flash Player Desktop Runtime | 32.0.0.321及更早版本 | Windows & macOS |
Adobe Flash Player Desktop Runtime | 32.0.0.314及更早版本 | Linux |
Adobe Flash Player for Google Chrome | 32.0.0.321及更早版本 | Windows, macOS, Linux, Chrome OS |
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 32.0.0.255及更早版本 | Windows 10 和 8.1 |
Adobe Experience Manager | 6.5、6.4 | 全版本 |
Adobe Digital Editions | 4.5.10及以下的版本 | Windows |
四、漏洞修复建议
建议用户及时安装官方发布的补丁将应用升级到最新版完成漏洞修复,具体的补丁列表如下:
产品 | 漏洞修补版本 | 平台 |
Adobe Framemaker | 2019.0.5 | Windows |
Acrobat DC | 2020.006.20034 | Windows and macOS |
Acrobat Reader DC | 2020.006.20034 | Windows and macOS |
Acrobat 2017 | 2017.011.30158 | Windows and macOS |
Acrobat Reader 2017 | 2017.011.30158 | Windows and macOS |
Acrobat 2015 | 2015.006.30510 | Windows and macOS |
Acrobat Reader 2015 | 2015.006.30510 | Windows and macOS |
Adobe Flash Player Desktop Runtime | 32.0.0.330 | Windows, macOS |
Adobe Flash Player for Google Chrome | 32.0.0.330 | Windows, macOS, Linux, Chrome OS |
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 32.0.0.330 | Windows 10 and 8.1 |
Adobe Flash Player Desktop Runtime | 32.0.0.330 | Linux |
Adobe Experience Manager | 6.5、6.4 | 全平台 |
Adobe Digital Editions | 4.5.11 | Windows |
五、参考链接
1) https://helpx.adobe.com/security.html
2) https://www.zerodayinitiative.com/blog/2020/2/11/the-february-2020-security-update-review