게시판 ID
마지막 업데이트 날짜
2023년 1월 16일
Adobe Acrobat 및 Reader에 대한 보안 권고 조치 예고 | APSB23-01
|
|
게시 날짜 |
우선 순위 |
|---|---|---|
|
Adobe Acrobat 및 Reader에 대한 보안 권고 조치 예고 | APSB23-01 |
2023년 1월 10일 |
3 |
요약
Adobe에서는 2023년 1월 10일에 Windows 및 macOS용 Adobe Acrobat과 Reader에 대한 보안 업데이트를 릴리스할 예정입니다.
사용자는 Adobe PSIRT(Product Security Incident Response Team) 웹 페이지( https://helpx.adobe.com/kr/security.html)에서 최신 정보를 모니터링할 수 있습니다.
(참고: 이 보안 권고 조치 예고는 업데이트가 릴리스되면 보안 게시판으로 대체됩니다.)
해당하는 버전
|
추적 |
해당하는 버전 |
플랫폼 |
|
|
Acrobat DC |
Continuous |
22.003.20282(Win), 22.003.20281(Mac) 및 이전 버전 |
Windows 및 macOS |
|
Acrobat Reader DC |
Continuous |
|
Windows 및 macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30418 및 이전 버전
|
Windows 및 macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 및 이전 버전 |
Windows 및 macOS |
Acrobat DC에 대한 질문이 있으면 Acrobat DC FAQ 페이지 를 방문해 보십시오.
--Adobe Acrobat DC에 대한 자세한 내용은 https://helpx.adobe.com/acrobat/faq.html 페이지를 방문해 보십시오.
--Adobe Acrobat Reader DC에 대한 자세한 내용은 https://helpx.adobe.com/reader/faq.html 페이지를 방문해 보십시오.
해결 방법
아래 지침에 따라 소프트웨어 설치를 최신 버전으로 업데이트하는 것이 좋습니다.
최종 사용자는 다음 방법 중 하나로 최신 제품 버전을 사용할 수 있습니다.
사용자는 [도움말] > [업데이트 확인]을 선택하여 수동으로 제품 설치를 업데이트할 수 있습니다.
업데이트가 감지되면 사용자가 개입하지 않아도 제품이 자동으로 업데이트됩니다.
정품 Acrobat Reader 설치 프로그램은 Acrobat Reader 다운로드 센터에서 다운로드할 수 있습니다.
IT 관리자의 경우(관리 환경):
설치 프로그램 링크는 특정 릴리스 정보 버전을 참조하십시오.
AIP-GPO, bootstrapper, SCUP/SCCM(Windows) 또는 Apple Remote Desktop 및 SSH(macOS) 등과 같은 선호하는 방법을 통해 업데이트를 설치하십시오.
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
취약성 세부 정보
| 취약점 카테고리 | 취약성 영향 | 심각도 | CVSS 기본 점수 | CVSS 벡터 | CVE 번호 |
| 정수 오버플로우 또는 줄 바꿈(CWE-190) |
임의 코드 실행 |
치명적 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
| 읽기 범위를 벗어났습니다(CWE-125) |
메모리 누수 | 중요 | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
| 읽기 범위를 벗어났습니다(CWE-125) |
메모리 누수 | 중요 | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
| NULL 포인터 참조 해제(CWE-476) |
애플리케이션 서비스 거부 |
중요 | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
| 스택 기반 버퍼 오버플로(CWE-121) |
임의 코드 실행 |
치명적 |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
| 힙 기반 버퍼 오버플로우(CWE-122) |
임의 코드 실행 |
치명적 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
| 쓰기 범위를 벗어남(CWE-787) |
임의 코드 실행 |
치명적 |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
| 잘못된 입력 유효성 검사(CWE-20) |
임의 코드 실행 |
치명적 |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
| 무료 평가판 이후 사용(CWE-416) |
임의 코드 실행 |
치명적 |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
| 쓰기 범위를 벗어남(CWE-787) |
임의 코드 실행 |
치명적 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
| 스택 기반 버퍼 오버플로(CWE-121) |
임의 코드 실행 |
치명적 |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
| 보안 설계 원칙 위반(CWE-657) |
권한 에스컬레이션 |
중요 | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
| 보안 설계 원칙 위반(CWE-657) |
권한 에스컬레이션 |
중요 |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
| 읽기 범위를 벗어났습니다(CWE-125) |
메모리 누수 |
중요 | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
| 읽기 범위를 벗어났습니다(CWE-125) |
메모리 누수 |
중요 |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
감사의 말
Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- Trend Micro Zero Day Initiative와 협력하는 0x1바이트 - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa(Ko Kato)(tsunekoh) - CVE-2023-21611, CVE-2023-21612
- Trend Micro Zero Day Initiative의 Mat Powell - CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL(kmfl) - CVE-2023-21586
- Trend Micro Zero Day Initiative와 협력하는 익명인 - CVE-2023-21609
- Vancir(vancir) - CVE-2023-21610
- Trend Micro Zero Day Initiative와 협력하는 Ashfaq Ansari 및 Krishnakant Patil - HackSys Inc - CVE-2023-21608
개정 버전:
2022년 11월 7일: CVE-2022-38437에 대한 승인이 수정됨
자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오.
