补丁日:Adobe多个产品高危漏洞安全风险提示

阅读量    19387 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x00 漏洞背景

2020年02月11日,360CERT监测到Adobe官方例行发布了2月份产品安全更新。本次更新供包含5个安全公告分别针对Framemaker,Experiment Manager,Adobe Digital Editions,Flash,Acrobat和Reader中的42个CVE。具体情况如下:

  • Framemaker更新修复了21个严重漏洞,其中绝大多数漏洞可能导致越界写(OOB)。
  • Adobe Acrobat和Reader的更新修复了17个漏洞,其中七个是UAF漏洞,这些漏洞中最严重的漏洞可以在用户打开特制的文件后造成远程代码执行。
  • Flash更新修复了一个单一类型的混淆漏洞,该漏洞可能允许登录后的用户执行任意代码。
  • Adobe Digital Editions的修补程序修复了2个漏洞,其中一个漏洞可能会造成代码注入漏洞,从而导致攻击者远程执行任意代码。
  • Experience Manager更新修复了一个拒绝服务漏洞。

Adobe公告称以上这些漏洞都未被公开,同时也没有被在野利用。

 

0x01 风险等级

360CERT判断此次安全更新

评定方式 等级
威胁等级 高危
影响面 广泛

360CERT判断此次安全更新针对的漏洞影响范围广泛。建议广大用户及时安装Adobe补丁,以免遭受攻击。

 

0x02 漏洞详情

各产品漏洞细则如下。

Adobe Framemaker

漏洞细则 漏洞影响 严重程度 CVE编号
缓冲区错误 任意代码执行 严重 CVE-2020-3734
堆溢出 任意代码执行 严重 CVE-2020-3731、CVE-2020-3735
内存损坏 任意代码执行 严重 CVE-2020-3739、CVE-2020-3740
越界写 任意代码执行 严重 CVE-2020-3720、CVE-2020-3721、CVE-2020-3722、CVE-2020-3723、CVE-2020-3724、CVE-2020-3725、CVE-2020-3726、CVE-2020-3727、CVE-2020-3728、CVE-2020-3729、CVE-2020-3730、CVE-2020-3732、CVE-2020-3733、CVE-2020-3736、CVE-2020-3737、CVE-2020-3738

Adobe Acrobat和Reader

漏洞细则 漏洞影响 严重程度 CVE编号
越界读 信息泄露 重大 CVE-2020-3744、CVE-2020-3747、CVE-2020-3755
堆溢出 任意代码执行 严重 CVE-2020-3742
缓冲区错误 任意代码执行 严重 CVE-2020-3752、CVE-2020-3754
释放重引用(UAF) 任意代码执行 严重 CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、CVE-2020-3748、CVE-2020-3749、CVE-2020-3750、CVE-2020-3751
内存耗尽 内存泄漏 中等 CVE-2020-3753、CVE-2020-3756
特权提升 任意文件写 严重 CVE-2020-3762、CVE-2020-3763

Adobe Flash Player

漏洞细则 漏洞影响 严重程度 CVE编号
类型混乱 任意代码执行 严重 CVE-2020-3757

Adobe Digital Editions

漏洞细则 漏洞影响 严重程度 CVE编号
缓冲区错误 信息泄露 重大 CVE-2020-3759
命令注入 任意代码执行 严重 CVE-2020-3760

Adobe Experience Manager

漏洞细则 漏洞影响 严重程度 CVE编号 影响版本
不受控制的资源消耗 拒绝服务 重大 CVE-2020-3741 AEM 6.4、AEM 6.5

 

0x03 影响版本

产品 版本 平台
Adobe Framemaker 2019.0.4及以下 Windows
Acrobat DC 2019.021.20061及更早版本 Windows & macOS
Acrobat Reader DC 2019.021.20061及更早版本 Windows & macOS
Acrobat 2017 2017.011.30156及更早版本 Windows
Acrobat Reader 2017 2017.011.30156及更早版本 macOS
Acrobat 2015 2015.006.30508及更早版本 Windows & macOS
Acrobat Reader 2015 2015.006.30508及更早版本 Windows & macOS
Adobe Flash Player Desktop Runtime 32.0.0.321及更早版本 Windows & macOS
Adobe Flash Player Desktop Runtime 32.0.0.314及更早版本 Linux
Adobe Flash Player for Google Chrome 32.0.0.321及更早版本 Windows, macOS, Linux, Chrome OS
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 32.0.0.255及更早版本 Windows 10 和 8.1
Adobe Experience Manager 6.5、6.4 全版本
Adobe Digital Editions 4.5.10及以下的版本 Windows

 

0x04 修复建议

360CERT建议用户及时安装官方发布的补丁将应用升级到最新版完成漏洞修复,具体的补丁列表如下:

产品 漏洞修补版本 平台
Adobe Framemaker 2019.0.5 Windows
Acrobat DC 2020.006.20034 Windows and macOS
Acrobat Reader DC 2020.006.20034 Windows and macOS
Acrobat 2017 2017.011.30158 Windows and macOS
Acrobat Reader 2017 2017.011.30158 Windows and macOS
Acrobat 2015 2015.006.30510 Windows and macOS
Acrobat Reader 2015 2015.006.30510 Windows and macOS
Adobe Flash Player Desktop Runtime 32.0.0.330 Windows, macOS
Adobe Flash Player for Google Chrome 32.0.0.330 Windows, macOS, Linux, Chrome OS
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 32.0.0.330 Windows 10 and 8.1
Adobe Flash Player Desktop Runtime 32.0.0.330 Linux
Adobe Experience Manager 6.5、6.4 全平台
Adobe Digital Editions 4.5.11 Windows

 

0x05 产品线解决方案

360安全卫士

针对本次安全更新,windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

 

0x06 时间线

2020-02-11 Adobe发布安全公告

2020-02-12 360CERT发布漏洞通告

 

0x07 参考链接

  1. https://helpx.adobe.com/security.html
  2. https://www.zerodayinitiative.com/blog/2020/2/11/the-february-2020-security-update-review
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多