Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Substance 3D Stager | APSB23-22

ID bulletinu

Datum zveřejnění

Priorita

APSB23-22

14. března 2023

3

Shrnutí

Společnost Adobe vydala aktualizaci aplikace Adobe Substance 3D Stager.  Tato aktualizace řeší  kritickédůležité chyby zabezpečení v aplikaci Adobe Substance 3D Stager, a to včetně závislostí třetích stran. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu a úniku paměti v kontextu aktuálního uživatele.    

Postižené verze

Produkt

Verze

Platforma

Adobe Substance 3D Stager

2.0.0 a starší verze 

Windows a macOS 

Řešení

Společnost Adobe těmto aktualizacím udělila následující prioritu a doporučuje uživatelům, aby si nainstalovali nejnovější verzi přes aktualizační mechanismus aplikace Creative Cloud pro počítače.   Více informací najdete na této stránce nápovědy.   

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Substance 3D Stager

2.0.1

Windows a macOS 

3

Ve spravovaných prostředích mohou správci IT použít k nasazení aplikací Creative Cloud u koncových uživatelů nástroj Admin Console. Více informací najdete na této stránce nápovědy.  

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Čísla CVE

Neoprávněné načtení (CWE-125)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25863

Přetečení vyrovnávací paměti založené na haldě (CWE-122)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25864

Přístup k místu v paměti na konci vyrovnávací paměti (CWE-788)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25865

Zápis mimo hranice (CWE-787)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25866

Přístup k místu v paměti na konci vyrovnávací paměti (CWE-788)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25867

Přetečení vyrovnávací paměti založené na haldě (CWE-122)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25868

Neoprávněné načtení (CWE-125)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25869

Použití paměti po uvolnění (CWE-416)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25870

Použití paměti po uvolnění (CWE-416)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25871

Přetečení vyrovnávací paměti založené na haldě (CWE-122)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25872

Neoprávněné načtení (CWE-125)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25873

Přetečení vyrovnávací paměti založené na haldě (CWE-122)

Svévolné spuštění kódu

Kritická

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25874

Neoprávněné načtení (CWE-125)

Únik paměti

Důležitá

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25875

Neoprávněné načtení (CWE-125)

Únik paměti

Důležitá

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25876

Neoprávněné načtení (CWE-125)

Únik paměti

Důležitá

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25877

Neoprávněné načtení (CWE-125)

Únik paměti

Důležitá

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25878

Aktualizace závislostí

Závislost    

Chyba zabezpečení

Dopad

Dotčené verze

SketchUp

Přetečení vyrovnávací paměti založené na zásobníku (CWE-121)

Svévolné spuštění kódu

2.0.0 a starší verze 

SketchUp

Použití paměti po uvolnění (CWE-416)

Svévolné spuštění kódu

2.0.0 a starší verze 

SketchUp

Přístup k místu v paměti na konci vyrovnávací paměti (CWE-788)

Únik paměti

2.0.0 a starší verze 

Poděkování:

Společnost Adobe by ráda poděkovala následujícím výzkumníkům  za nahlášení těchto potíží a za spolupráci se společností Adobe při ochraně jejích zákazníků:

  • Mat Powell v rámci iniciativy Zero Day Initiative společnosti Trend Micro  CVE-2023-25863, CVE-2023-25864, CVE-2023-25865, CVE-2023-25866, CVE-2023-25867, CVE-2023-25868, CVE-2023-25869, CVE-2023-25870, CVE-2023-25871, CVE-2023-25872, CVE-2023-25873, CVE-2023-25874, CVE-2023-25875, CVE-2023-25876, CVE-2023-25877, CVE-2023-25878

Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com

Získejte pomoc rychleji a snáze

Nový uživatel?