Adobe предупреждает о критических недостатках Acrobat и Reader в Windows и macOS

Компания Adobe призвала пользователей Windows и macOS обновить свои приложения Acrobat и Reader после того, как обнаружила, что они содержат недостатки, которые можно использовать для выполнения произвольного кода.

Фото: Pixabay

Среди критических уязвимостей — переполнение буфера (CVE-2020-24435), произвольное выполнение JavaScript (CVE-2020-24432), ошибка записи вне пределов (CVE-2020-24436) и два «использования после исправления ошибок» (CVE-2020-24430 и CVE-2020-24437).

Среди уязвимостей есть и такие, которые дают локальное повышение привилегий. В их числе ошибка неправильного контроля доступа (CVE-2020-24433), проблема обхода проверки подписи (CVE-2020-24429) и ошибка состояния гонки (CVE-2020-24428) .

Другой серьёзный недостаток связан с обходом функций безопасности, который может позволить динамическое внедрение библиотеки (CVE-2020-24431).

Недостатки затрагивают Acrobat DC и Acrobat Reader DC Continuous версии 2020.012.20048 и более ранние; (для Windows и macOS); Acrobat и Acrobat Reader Classic 2020 версий 2020.001.30005 и более ранних версий (для Windows и macOS) и Acrobat и Acrobat Reader Classic 2017 версий 2017.011.30175 и более ранних (для Windows и macOS).

Adobe сообщила, что пользователи могут обновлять приложения до Acrobat DC и Acrobat Reader DC Continuous версии 2020.013.20064; Acrobat и Acrobat Reader Classic 2020 версии 2020.001.30010 и Acrobat и Acrobat Reader Classic 2017 версии 2017.011.30180.

Компания также удалила все компоненты Flash из своих продуктов PDF. В своём списке основных новых функций компания сообщила, что Flash устарел и больше не используется в Acrobat.

«Различные параметры, доступные в файле ответов формы, зависящие от Flash -« Обновление »,« Фильтр »,« Экспорт (все / выбранное) »,« Архив »(« Все / выбранное »),« Добавить »и« Удалить »- больше не доступны. Эти параметры теперь заменены дополнительной панелью инструментов с параметрами для обновления, добавления, удаления, экспорта и архивирования ответов », - говорится на веб-странице.

Кроме того, в меню Adobe PDFMaker в приложениях Microsoft Word и PowerPoint отсутствует кнопка «Вставить мультимедиа». Это позволило пользователям Office встраивать Flash-контент в документы.

«По умолчанию Microsoft отключила возможность добавления Flash или Rich media в документы Office. Если в ваш документ уже встроено Flash-содержимое, Acrobat предотвращает встраивание Flash или Rich media в преобразованный файл PDF и вместо этого добавляет изображение "прочтите веб-страницу», — сообщают в компании. — «Если вы включили Flash-содержимое в документах Microsoft, Acrobat добавит пустое поле в преобразованный PDF-файл».

Как сообщал Startpack, ранее уязвимость была обнаружена в браузере Chrome в версии для Android.