Ennakkoilmoitus Adobe Acrobatin ja Readerin tietoturvatiedotteesta

Ennakkoilmoitus Adobe Acrobatin ja Readerin turvallisuustiedotteesta  | APSB23-01

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

Ennakkoilmoitus Adobe Acrobatin ja Readerin turvallisuustiedotteesta  | APSB23-01

10. tammikuuta 2023

3

Yhteenveto


Adobe aikoo julkaista tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille 10. tammikuuta 2023.                

Käyttäjät voivat seurata viimeisimpiä tietoja Adoben PSIRT-tiimin (Product Security Incident Response Team) verkkosivulta osoitteesta  https://helpx.adobe.com/fi/security.html

(Huomautus: Tämä tietoturvatiedotetta koskeva ennakkoilmoitus korvataan tietoturvatiedotteella, joka julkaistaan päivityksen yhteydessä.)                                   

Versiot

Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa sovellusten palvelunestohäiriöihin, mielivaltaisen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja muistivuotoon.

Adobe määrittää päivityksille seuraavat  prioriteettiluokitukset:  

Tuote

Seuranta

Versiot

Ympäristö

Acrobat DC 

Continuous 

22.003.20282 (Windows), 22.003.20281 (Mac) ja aiemmat versiot

Windows ja  macOS

Acrobat Reader DC

Continuous 


22.003.20282 (Windows), 22.003.20281 (Mac) ja aiemmat versiot

 

Windows ja macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 ja aiemmat versiot

 

Windows ja macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 ja aiemmat versiot

Windows ja macOS

Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.   

– Jos haluat lisätietoa Adobe Acrobat DC:stä, vieraile osoitteessa https://helpx.adobe.com/fi/acrobat/faq.html.                

– Jos haluat lisätietoa Adobe Acrobat Reader DC:stä, vieraile osoitteessa https://helpx.adobe.com/fi/reader/faq.html.              

 

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Katso asennusohjelmien linkit julkaisutietojen versiosta.

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:    

Tuote

Seuranta

Päivitetyt versiot

Ympäristö

Prioriteettiluokitus

Saatavuus

Acrobat DC

Continuous

22.003.20310

Windows ja macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows ja macOS

3

Julkaisutiedot     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows ja macOS

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  ja macOS 

3

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVSS-peruspisteet CVSS-vektori CVE-numero
Kokonaisluvun ylivuoto tai rivitys (CWE-190)
Mielivaltaisen koodin suoritus
Kriittinen 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
Rajat ylittävä lukeminen (CWE-125)
Muistivuoto Tärkeä 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
Rajat ylittävä lukeminen (CWE-125)
Muistivuoto Tärkeä 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)
Sovelluksen palvelunesto
Tärkeä 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
Pinopohjainen puskurin ylivuoto (CWE-121)
Mielivaltaisen koodin suoritus
Kriittinen
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
Kekopohjainen puskurin ylivuoto (CWE-122)
Mielivaltaisen koodin suoritus
Kriittinen 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
Rajat ylittävä kirjoittaminen (CWE-787)
Mielivaltaisen koodin suoritus
Kriittinen
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
Virheellinen syötteen tarkistus (CWE-20)
Mielivaltaisen koodin suoritus
Kriittinen
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
Use After Free (CWE-416)
Mielivaltaisen koodin suoritus
Kriittinen
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
Rajat ylittävä kirjoittaminen (CWE-787)
Mielivaltaisen koodin suoritus
Kriittinen 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
Pinopohjainen puskurin ylivuoto (CWE-121)
Mielivaltaisen koodin suoritus
Kriittinen
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
Turvallisen suunnittelun periaatteiden rikkominen (CWE-657)
Käyttöoikeuksien laajennus
Tärkeä 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
Turvallisen suunnittelun periaatteiden rikkominen (CWE-657)
Käyttöoikeuksien laajennus
Tärkeä
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
Rajat ylittävä lukeminen (CWE-125)
Muistivuoto
Tärkeä 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
Rajat ylittävä lukeminen (CWE-125)
Muistivuoto
Tärkeä
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • 0x1byte yhteistyössä Trend Micron Zero Day -ohjelman kanssa – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
  • Koh M. Nakagawa (Ko Kato) (tsunekoh) – CVE-2023-21611, CVE-2023-21612
  • Mat Powell yhteistyössä Trend Micro Zero Day -ohjelman kanssa – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613,  CVE-2023-21614
  • KMFL (kmfl) – CVE-2023-21586
  • Nimetön yhteistyössä Trend Micron Zero Day -ohjelman kanssa - CVE-2023-21609
  • Vancir (vancir) – CVE-2023-21610
  • Ashfaq Ansari ja Krishnakant Patil – HackSys Inc yhdessä Trend Micron Zero Day -ohjelman kanssa – CVE-2023-21608





 

Versiot:

7. marraskuuta 2022: Tarkistettu kiitos haavoittuvuudesta CVE-2022-38437


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?