Pré-notificação de Conselho sobre segurança para o Adobe Acrobat e o Reader

Pré-notificação de Conselho sobre segurança para o Adobe Acrobat e o Reader  | APSB23-01

ID do boletim

Data de publicação

Prioridade

Pré-notificação de Conselho sobre segurança para o Adobe Acrobat e o Reader  | APSB23-01

10 de janeiro de 2023

3

Resumo


O Adobe está planejando lançar atualizações de segurança para o Adobe Acrobat e o Reader, para Windows e macOS, em 10 de janeiro de 2023.                

Os usuários podem monitorar as informações mais recentes no blog da Adobe Product Security Incident Response Team (PSIRT) em  https://helpx.adobe.com/security.html

(Observação: o aviso de segurança de pré-notificação será substituído pelo boletim de segurança no lançamento da atualização.)                                   

Versões afetadas

Essas atualizações abordam vulnerabilidades críticas e importantes. A exploração bem sucedida poderia levar à negação de serviço ao aplicativo, execução arbitrária de código, escalonamento de privilégios e vazamento de memória.

A Adobe atribuirá as seguintes classificações de prioridade a essas atualizações:  

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores

Windows e  macOS

Acrobat Reader DC

Continuous 


22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores

 

Windows e macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 e versões anteriores

 

Windows e macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 e versões anteriores

Windows e macOS

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC.   

— Para obter mais informações sobre o Adobe Acrobat DC, visite https://helpx.adobe.com/acrobat/faq.html.                

—Para obter mais informações sobre o Adobe Acrobat Reader DC, visite https://helpx.adobe.com/reader/faq.html.              

 

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

22.003.20310

Windows e macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows e macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows  e macOS  

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  e macOS 

3

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS Vetor CVSS Número CVE
Estouro ou wraparound de inteiro (CWE-190)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
Leitura fora dos limites(CWE-125)
Vazamento de memória Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
Leitura fora dos limites(CWE-125)
Vazamento de memória Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
Desreferência de ponteiro NULA (CWE-476)
Negação de serviço de aplicativo
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
Transbordamento de dados baseado em pilha (CWE-121)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
Estouro de buffer baseado em heap (CWE-122)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
Validação de entrada inadequada (CWE-20)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
Transbordamento de dados baseado em pilha (CWE-121)
Execução de código arbitrário
Crítico
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
Violação de princípios de design seguro (CWE-657)
Escalonamento de privilégio
Importante 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
Violação de princípios de design seguro (CWE-657)
Escalonamento de privilégio
Importante
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
Leitura fora dos limites(CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
Leitura fora dos limites(CWE-125)
Vazamento de memória
Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • 0x1byte trabalhando com a Zero Day Initiative da Trend Micro - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
  • Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
  • Mat Powell com a Zero Day Initiative da Trend Micro - CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613,  CVE-2023-21614
  • KMFL (kmfl) - CVE-2023-21586
  • Anônimo trabalhando com a Zero Day Initiative da Trend Micro - CVE-2023-21609
  • Vancir (vancir) - CVE-2023-21610
  • Ashfaq Ansari e Krishnakant Patil - HackSys Inc. - HackSys Inc que trabalha com a Zero Day Initiative da Trend Micro - CVE-2023-21608





 

Revisões:

7 de novembro de 2022: reconhecimento revisado para CVE-2022-38437


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?