BDU:2020-01837: Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2015, Adobe Acrobat Reader 2015, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю выполнить произвольный код
Детали уязвимости BDU:2020-01837
Описание
Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2015, Adobe Acrobat Reader 2015 вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Что делать с BDU:2020-01837
Высокая уязвимость (CVSS 8.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:M/Au:N/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Параллельный доступ к ресурсу без синхронизации. Может привести к повышению привилегий или повреждению данных.
Как атакуют и что делать ▾
Сценарий атаки
Два потока одновременно обращаются к общему ресурсу. TOCTOU: проверка прав → пауза → операция — в паузе атакующий подменяет файл.
Последствия
Повышение привилегий, обход проверок, повреждение данных.
Рекомендации
Используйте атомарные операции, блокировки, транзакции БД. Избегайте TOCTOU-паттернов.
Тактики и техники
Уязвимое ПО (6)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Adobe Systems Inc. | Adobe Acrobat Document Cloud | до 2019.012.20040 continuous включительно | Не указана |
| Adobe Systems Inc. | Adobe Acrobat Reader Document Cloud | до 2019.012.20040 Continuous включительно | Не указана |
| Adobe Systems Inc. | Adobe Acrobat 2017 | до 2017.011.30148 Classic 2017 включительно | Не указана |
| Adobe Systems Inc. | Adobe Acrobat Reader 2017 | до 2017.011.30148 Classic 2017 включительно | Не указана |
| Adobe Systems Inc. | Adobe Acrobat 2015 | до 2015.006.30503 Сlassic 2015 включительно | Не указана |
| Adobe Systems Inc. | Adobe Acrobat Reader 2015 | до 2015.006.30503 Сlassic 2015 включительно | Не указана |
Среды функционирования (2)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Apple Inc. | MacOS | . | Не указана |
| Microsoft Corp | Windows | - | Не указана |
Рекомендации по устранению
Использование рекомендаций производителя: https://helpx.adobe.com/security/products/acrobat/apsb19-49.html
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 8.1
Уточните SLA под вашу среду
Базовый балл 8.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2019-10-15
Опубликована
2020-04-29
Обновлена
2020-04-29
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-05392Уязвимость программ просмотра и редактирования PDF-файлов Acrobat DC, Acrobat Reader DC, Acrobat 2024, связанная с некон
BDU:2026-05391Уязвимость программ просмотра и редактирования PDF-файлов Acrobat DC, Acrobat Reader DC, Acrobat 2024, связанная с некон
BDU:2026-04929Уязвимость прикладного программного интерфейса util.readFileIntoStream() программы просмотра и редактирования PDF-файлов
BDU:2026-03021Уязвимость программ просмотра и редактирования PDF-файлов Acrobat DC, Acrobat Reader DC, Acrobat 2024, связанная с испол
BDU:2026-03019Уязвимость программ просмотра и редактирования PDF-файлов Acrobat DC, Acrobat Reader DC, Acrobat 2024, связанная с испол
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.