Tiedotteen tunnus
Ennakkoilmoitus Adobe Acrobatin ja Readerin turvallisuustiedotteesta | APSB23-01
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
Ennakkoilmoitus Adobe Acrobatin ja Readerin turvallisuustiedotteesta | APSB23-01 |
10. tammikuuta 2023 |
3 |
Yhteenveto
Adobe aikoo julkaista tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille 10. tammikuuta 2023.
Käyttäjät voivat seurata viimeisimpiä tietoja Adoben PSIRT-tiimin (Product Security Incident Response Team) verkkosivulta osoitteesta https://helpx.adobe.com/fi/security.html
(Huomautus: Tämä tietoturvatiedotetta koskeva ennakkoilmoitus korvataan tietoturvatiedotteella, joka julkaistaan päivityksen yhteydessä.)
Versiot
Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa sovellusten palvelunestohäiriöihin, mielivaltaisen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja muistivuotoon.
Adobe määrittää päivityksille seuraavat prioriteettiluokitukset:
Seuranta |
Versiot |
Ympäristö |
|
Acrobat DC |
Continuous |
22.003.20282 (Windows), 22.003.20281 (Mac) ja aiemmat versiot |
Windows ja macOS |
Acrobat Reader DC |
Continuous |
|
Windows ja macOS |
|
|
||
Acrobat 2020 |
Classic 2020 |
20.005.30418 ja aiemmat versiot
|
Windows ja macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 ja aiemmat versiot |
Windows ja macOS |
Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.
– Jos haluat lisätietoa Adobe Acrobat DC:stä, vieraile osoitteessa https://helpx.adobe.com/fi/acrobat/faq.html.
– Jos haluat lisätietoa Adobe Acrobat Reader DC:stä, vieraile osoitteessa https://helpx.adobe.com/fi/reader/faq.html.
Ratkaisu
Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:
Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
IT-päälliköt (hallinnoidut ympäristöt):
Katso asennusohjelmien linkit julkaisutietojen versiosta.
Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Seuranta |
Päivitetyt versiot |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows ja macOS |
3 |
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows ja macOS |
3 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows ja macOS |
3 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows ja macOS |
3 |
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVSS-peruspisteet | CVSS-vektori | CVE-numero |
Kokonaisluvun ylivuoto tai rivitys (CWE-190) |
Mielivaltaisen koodin suoritus |
Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
Pinopohjainen puskurin ylivuoto (CWE-121) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
Kekopohjainen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
Rajat ylittävä kirjoittaminen (CWE-787) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
Use After Free (CWE-416) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
Rajat ylittävä kirjoittaminen (CWE-787) |
Mielivaltaisen koodin suoritus |
Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
Pinopohjainen puskurin ylivuoto (CWE-121) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) |
Käyttöoikeuksien laajennus |
Tärkeä | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) |
Käyttöoikeuksien laajennus |
Tärkeä |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto |
Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto |
Tärkeä |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- 0x1byte yhteistyössä Trend Micron Zero Day -ohjelman kanssa – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) – CVE-2023-21611, CVE-2023-21612
- Mat Powell yhteistyössä Trend Micro Zero Day -ohjelman kanssa – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) – CVE-2023-21586
- Nimetön yhteistyössä Trend Micron Zero Day -ohjelman kanssa - CVE-2023-21609
- Vancir (vancir) – CVE-2023-21610
- Ashfaq Ansari ja Krishnakant Patil – HackSys Inc yhdessä Trend Micron Zero Day -ohjelman kanssa – CVE-2023-21608
Versiot:
7. marraskuuta 2022: Tarkistettu kiitos haavoittuvuudesta CVE-2022-38437
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.