Bollettino sulla sicurezza di Adobe

Cerca

Ultimo aggiornamento il 19 apr 2023

Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB23-24

ID bollettino	Data di pubblicazione	Priorità
APSB23-24	11 aprile 2023	3

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e macOS. Questi aggiornamenti risolvono vulnerabilità  critiche e importanti. Un eventuale sfruttamento delle vulnerabilità può provocare l'esecuzione di codice arbitrario, l'acquisizione illecita di privilegi, l'aggiramento delle funzioni di sicurezza e perdita di memoria.                

Versioni interessate

Prodotto	Track	Versioni interessate	Piattaforma
Acrobat DC	Continuous	23.001.20093 e versioni precedenti	Windows e macOS
Acrobat Reader DC	Continuous	23.001.20093 e versioni precedenti	Windows e macOS

Acrobat 2020	Classic 2020	20.005.30441 e versioni precedenti	Windows e macOS
Acrobat Reader 2020	Classic 2020	20.005.30441 e versioni precedenti	Windows e macOS

Per domande su Acrobat DC, visitate la pagina con le Domande Frequenti su Acrobat DC.

Per domande su Acrobat Reader DC, visitate la pagina con le Domande Frequenti su Acrobat Reader DC.

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     
I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.     
È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.

Per gli amministratori IT (ambienti gestiti):     

Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.     
Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto	Track	Versioni aggiornate	Piattaforma	Livello di priorità	Disponibilità
Acrobat DC	Continuous	23.001.20143	Windows e macOS	3	Note sul rilascio
Acrobat Reader DC	Continuous	23.001.20143	Windows e macOS	3	Note sul rilascio

Acrobat 2020	Classic 2020	20.005.30467	Windows e macOS	3	Note sul rilascio
Acrobat Reader 2020	Classic 2020	20.005.30467	Windows  e macOS	3	Note sul rilascio

Dettagli della vulnerabilità

Categoria della vulnerabilità	Impatto della vulnerabilità	Gravità	Punteggio base CVSS	Vettore CVSS	Codice CVE
Scrittura fuori limite (CWE-787)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26395
Violazione dei principi di progettazione sicura (CWE-657)	Acquisizione illecita di privilegi	Importante	6.6	CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L	CVE-2023-26396
Lettura fuori dai limiti (CWE-125)	Perdita di memoria	Importante	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-26397
Convalida dell'input non corretta (CWE-20)	Esecuzione di codice arbitrario	Critica	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26405
Controllo di accesso non corretto (CWE-284)	Aggiramento della funzione di sicurezza	Critica	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26406
Convalida dell'input non corretta (CWE-20)	Esecuzione di codice arbitrario	Critica	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26407
Controllo di accesso non corretto (CWE-284)	Aggiramento della funzione di sicurezza	Critica	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26408
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26417
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26418
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26419
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26420
Sottocarico intero (Wrap o Wraparound) (CWE-191)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26421
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26422
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26423
Use After Free (CWE-416)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26424
Lettura fuori dai limiti (CWE-125)	Esecuzione di codice arbitrario	Critica	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26425

Ringraziamenti

Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:  

Mark Vincent Yason (@MarkYason) in collaborazione con Trend Micro Zero Day Initiative - CVE-2023-26417, CVE-2023-26418, CVE-2023-26419, CVE-2023-26420, CVE-2023-26422, CVE-2023-26423,
AbdulAziz Hariri (@abdhariri) di Haboob SA (@HaboobSa) - CVE-2023-26405, CVE-2023-26406, CVE-2023-26407, CVE-2023-26408
Utente anonimo in collaborazione con Trend Micro Zero Day Initiative - CVE-2023-26424, CVE-2023-26425, CVE-2023-26421
Qingyang Chen del team Topsec Alpha CVE-2023-26395
Koh M. Nakagawa (tsunekoh) - CVE-2023-26396
Kai Lu (k3vinlusec) - CVE-2023-26397

Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

Ottieni supporto in modo più facile e veloce

Nuovo utente?