ID bulletinu
Naposledy aktualizováno
17. 8. 2023
Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader | APSB23-30
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB23-30 |
8. srpna 2023 |
3 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické, důležité a středně závažné chyby zabezpečení. Úspěšné zneužití těchto chyb by mohlo vést k útokům DoS na aplikace, obcházení bezpečnostních funkcí, úniku paměti a svévolnému spuštění kódu.
Postižené verze
|
Stopa |
Postižené verze |
Platforma |
|
|
Acrobat DC |
Continuous |
23.003.20244 a starší verze |
Windows a macOS |
|
Acrobat Reader DC |
Continuous |
23.003.20244 a starší verze
|
Windows a macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30467 a starší verze
|
Windows a macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30467 a starší verze |
Windows a macOS |
V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC.
V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.
Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
|
Stopa |
Aktualizované verze |
Platforma |
Úroveň priority |
Dostupnost |
|
|
Acrobat DC |
Continuous |
23.003.20269 |
Windows a macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
23.003.20269 |
Windows a macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30516.10516 (Mac) 20.005.30514.10514 (Win) |
Windows a macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30516.10516 (Mac) 20.005.30514.10514 (Win) |
Windows a macOS |
3 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Základní hodnocení CVSS | Vektor CVSS | Číslo CVE |
| Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Kritická |
8.6 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
CVE-2023-29320 |
| Nesprávné ověření vstupu (CWE-20) |
Útoky DoS na aplikace |
Důležitá | 5.6 | CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2023-29299 |
| Použití paměti po uvolnění (CWE-416) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-29303 |
| Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38222 |
| Přístup k neinicializovanému ukazateli (CWE-824) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38223 |
| Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38224 |
| Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38225 |
| Přístup k neinicializovanému ukazateli (CWE-824) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38226 |
| Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38227 |
| Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38228 |
| Neoprávněné načtení (CWE-125) |
Únik paměti | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38229 |
| Použití paměti po uvolnění (CWE-416) |
Únik paměti |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38230 |
| Zápis mimo hranice (CWE-787) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38231 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38232 |
| Zápis mimo hranice (CWE-787) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38233 |
| Přístup k neinicializovanému ukazateli (CWE-824) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38234 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38235 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38236 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38237 |
| Použití paměti po uvolnění (CWE-416) |
Únik paměti |
Střední | 4.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38238 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38239 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38240 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38241 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38242 |
| Použití paměti po uvolnění (CWE-416) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38243 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38244 |
| Nesprávné ověření vstupu (CWE-20) |
Svévolné spuštění kódu |
Důležitá |
6.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2023-38245 |
| Přístup k neinicializovanému ukazateli (CWE-824) |
Svévolné spuštění kódu |
Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38246 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Střední | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38247 |
| Neoprávněné načtení (CWE-125) |
Únik paměti |
Střední | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38248 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Mat Powell v rámci iniciativy Zero Day Initiative společnosti Trend Micro – CVE-2023-38226, CVE-2023-38227, CVE-2023-38228, CVE-2023-38229, CVE-2023-38230, CVE-2023-38231, CVE-2023-38232, CVE-2023-38233, CVE-2023-38234, CVE-2023-38235, CVE-2023-38236, CVE-2023-38237, CVE-2023-38238, CVE-2023-38239, CVE-2023-38240, CVE-2023-38241, CVE-2023-38242, CVE-2023-38244
- Mark Vincent Yason (@MarkYason) spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro – CVE-2023-38222, CVE-2023-38224, CVE-2023-38225
- Anonymní uživatel spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro – CVE-2023-38247, CVE-2023-38248, CVE-2023-38243, CVE-2023-38223, CVE-2023-29303
- ycdxsb – CVE-2023-29299
- AbdulAziz Hariri (@abdhariri) ze společnosti Haboob SA (@HaboobSa) – CVE-2023-29320
- j00sean – CVE-2023-38245, CVE-2023-38246
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
