Vorbenachrichtigung zum Sicherheitshinweis für Adobe Acrobat und Adobe Reader

Vorbenachrichtigung zum Sicherheitshinweis für Adobe Acrobat und Reader   | APSB23-01

Bulletin-ID

Veröffentlichungsdatum

Priorität

Vorbenachrichtigung zum Sicherheitshinweis für Adobe Acrobat und Reader  | APSB23-01 

10. Januar 2023

3

Zusammenfassung


Adobe plant, Sicherheitsupdates für Adobe Acrobat und Reader für Windows und macOS am 10. Januar 2023 zu veröffentlichen.                

Benutzer können die neuesten Informationen auf der Website des Adobe Product Security Incident Response Team (PSIRT) unter  https://helpx.adobe.com/security.html verfolgen.

(Hinweis: Diese Vorbenachrichtigung zum Sicherheitshinweis wird bei der Veröffentlichung des Updates durch das Sicherheitsbulletin ersetzt.)                                   

Betroffene Versionen

Diese Updates beheben kritische und wichtige Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zu einem Denial-of-Service der Anwendung, der Ausführung von beliebigem Code, der Ausweitung von Privilegien und Speicherlecks führen.

Adobe stuft die Priorität dieser Updates wie folgt ein:  

Produkt

Überwachen

Betroffene Versionen

Plattform

Acrobat DC 

Continuous 

22.003.20282 (Win), 22.003.20281 (Mac) und frühere Versionen

Windows und macOS

Acrobat Reader DC

Continuous 


22.003.20282 (Win), 22.003.20281 (Mac) und frühere Versionen

 

Windows und macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 und frühere Versionen

 

Windows und macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 und frühere Versionen

Windows und macOS

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite Adobe Acrobat DC – Häufig gestellte Fragen.   

- Weitere Informationen zu Adobe Acrobat DC finden Sie unter https://helpx.adobe.com/acrobat/faq.html.                

- Weitere Informationen zu Adobe Acrobat DC finden Sie unter https://helpx.adobe.com/reader/faq.html.              

 

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein:    

Produkt

Überwachen

Aktualisierte Versionen

Plattform

Priorität

Verfügbarkeit

Acrobat DC

Continuous

22.003.20310

Windows und macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows und macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows und macOS

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  und macOS 

3

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVSS-Basispunktzahl CVSS-Vektor CVE-Nummer
Integer-Überlauf oder Umfließen (CWE-190)
Willkürliche Ausführung von Code
Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
Gelesen außerhalb des gültigen Bereichs (CWE-125)
Speicherverlust Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
Gelesen außerhalb des gültigen Bereichs (CWE-125)
Speicherverlust Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
NULL-Zeigerabweichung (CWE-476)
Anwendungsabsturz
Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
Stapelbasierter Pufferüberlauf (CWE-121)
Willkürliche Ausführung von Code
Kritisch
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
Heap-basierter Pufferüberlauf (CWE-122)
Willkürliche Ausführung von Code
Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
Schreibvorgang außerhalb des gültigen Bereichs(CWE-787)
Willkürliche Ausführung von Code
Kritisch
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
Unangemessene Eingabevalidierung (CWE-20)
Willkürliche Ausführung von Code
Kritisch
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
Nach kostenloser Version verwenden (CWE-416)
Willkürliche Ausführung von Code
Kritisch
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
Schreibvorgang außerhalb des gültigen Bereichs(CWE-787)
Willkürliche Ausführung von Code
Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
Stapelbasierter Pufferüberlauf (CWE-121)
Willkürliche Ausführung von Code
Kritisch
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
Verletzung sicherer Designgrundsätze (CWE-657)
Berechtigungsausweitung
Wichtig 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
Verletzung sicherer Designgrundsätze (CWE-657)
Berechtigungsausweitung
Wichtig
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
Gelesen außerhalb des gültigen Bereichs (CWE-125)
Speicherverlust
Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
Gelesen außerhalb des gültigen Bereichs (CWE-125)
Speicherverlust
Wichtig
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:   

  • 0x1 Byte in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
  • Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
  • Mat Powell mit der Zero Day Initiative von Trend Micro - CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613,  CVE-2023-21614
  • KMFL (kmfl) - CVE-2023-21586
  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2023-21609
  • Vancir (vancir) - CVE-2023-21610
  • Ashfaq Ansari und Krishnakant Patil – HackSys Inc in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2023-21608)





 

Überarbeitungen:

7. November 2022: Überarbeitete Bestätigung für CVE-2022-38437


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?