Adobe 安全公告

上次更新日期： 2023年4月19日

Adobe Acrobat 和 Reader 的安全更新 | APSB23-24

公告 ID	发布日期	优先级
APSB23-24	2023 年 4 月 11 日	3

摘要

Adobe 发布了 Windows 和 macOS 版 Adobe Acrobat 和 Reader 的安全更新。这些更新解决了关键漏洞和重要漏洞。如果这些漏洞遭到恶意利用，可能导致任意代码执行、权限提升、绕过安全功能和内存泄露。                

受影响的版本

产品	追踪	受影响的版本	平台
Acrobat DC	Continuous	23.001.20093 及更早版本	Windows 和 macOS
Acrobat Reader DC	Continuous	23.001.20093 及更早版本	Windows 和 macOS

Acrobat 2020	Classic 2020	20.005.30441 及更早版本	Windows 和 macOS
Acrobat Reader 2020	Classic 2020	20.005.30441 及更早版本	Windows 和 macOS

有关 Acrobat DC 的问题，请访问 Acrobat DC 常见问题解答页面。

有关 Acrobat Reader DC 的问题，请访问 Acrobat Reader DC 常见问题解答页面。

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一，获取产品的最新版本：

用户可以通过选择“帮助”>“检查更新”，手动更新他们的产品安装。
产品将在检测到更新时自动更新，无需用户干预。
完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员（托管环境）：

有关安装程序的链接，请参阅特定的发行说明版本。     
通过您的首选方法安装更新，例如 AIP-GPO、引导程序、SCUP/SCCM (Windows)，或者 Apple 远程桌面和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类，建议用户将其安装的软件更新至最新版本：    

产品	追踪	更新后的版本	平台	优先级	获取途径
Acrobat DC	Continuous	23.001.20143	Windows 和 macOS	3	发行说明
Acrobat Reader DC	Continuous	23.001.20143	Windows 和 macOS	3	发行说明

Acrobat 2020	Classic 2020	20.005.30467	Windows 和 macOS	3	发行说明
Acrobat Reader 2020	Classic 2020	20.005.30467	Windows  和 macOS	3	发行说明

漏洞详情

漏洞类别	漏洞影响	严重性	CVSS 基础评分	CVSS 向量	CVE 编号
越界写入 (CWE-787)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26395
违反安全设计原则 (CWE-657)	权限升级	重要	6.6	CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L	CVE-2023-26396
越界读取 (CWE-125)	内存泄露	重要	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-26397
不当的输入验证 (CWE-20)	任意代码执行	关键	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26405
不当的访问控制 (CWE-284)	绕过安全功能	关键	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26406
不当的输入验证 (CWE-20)	任意代码执行	关键	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26407
不当的访问控制 (CWE-284)	绕过安全功能	关键	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26408
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26417
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26418
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26419
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26420
整数下溢（超界折返）(CWE-191)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26421
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26422
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26423
释放后使用 (CWE-416)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26424
越界读取 (CWE-125)	任意代码执行	关键	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26425

鸣谢

Adobe 衷心感谢以下个人报告这些问题并与 Adobe 一起保护我们的客户：

参与趋势科技“零日计划”(Zero Day Initiative) 的 Mark Vincent Yason (@MarkYason)：CVE-2023-26417、CVE-2023-26418、CVE-2023-26419、CVE-2023-26420、CVE-2023-26422、VE-2023-26423
来自 Haboob SA (@HaboobSa) 的 AbdulAziz Hariri (@abdhariri) - CVE-2023-26405、CVE-2023-26406、CVE-2023-26407、CVE-2023-26408
参与趋势科技“零日计划”(Zero Day Initiative) 的匿名人士 - CVE-2023-26424、CVE-2023-26425、CVE-2023-26421
来自天融信阿尔法团队的 Qingyang Chen - CVE-2023-26395
Koh M. Nakagawa (tsunekoh) - CVE-2023-26396
Kai Lu (k3vinlusec) - CVE-2023-26397

有关更多信息，请访问 https://helpx.adobe.com/cn/security.html，或发送电子邮件至 PSIRT@adobe.com。

更快、更轻松地获得帮助

新用户？