Bulletin-ID
Sist oppdatert
16. jan. 2023
Forhåndsvarsel om sikkerhetsråd for Adobe Acrobat og Reader | APSB23-01
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
Forhåndsvarsel om sikkerhetsråd for Adobe Acrobat og Reader | APSB23-01 |
10. januar 2023 |
3 |
Sammendrag
Adobe planlegger å gi ut sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS 10. januar 2023.
Brukere kan overvåke den nyeste informasjonen på nettsiden til Adobe Product Security Incident Response Team (PSIRT) på https://helpx.adobe.com/security.html
(Merk: Forhåndsvarselsikkerhetsrådet blir erstattet med sikkerhetsbulletinen ved lansering av oppdateringen).
Berørte versjoner
Disse oppdateringene løser kritiske og viktige sårbarheter. Vellykket utnyttelse kan føre til tjenestenekt, kjøring av vilkårlig kode, eskalering av rettigheter og minnelekkasje.
Adobe vil tildele følgende prioritetsklassifiseringer til disse oppdateringene:
|
Spor |
Berørte versjoner |
Plattform |
|
|
Acrobat DC |
Continuous |
Versjon 22.003.20282 (Win), 22.003.20281 (Mac) og tidligere |
Windows og macOS |
|
Acrobat Reader DC |
Continuous |
|
Windows og macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
Versjon 20.005.30418 og tidligere
|
Windows og macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
Versjon 20.005.30418 og tidligere |
Windows og macOS |
Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.
--Hvis du har spørsmål om Adobe Acrobat DC, kan du gå til https://helpx.adobe.com/acrobat/faq.html.
--Hvis du har spørsmål om Adobe Acrobat Reader DC, kan du gå til https://helpx.adobe.com/reader/faq.html.
Løsning
Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:
Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.
Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.
For IT-administratorer (administrerte miljøer):
Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.
Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH.
Adobe kategoriserer disse oppdateringene med følgendeprioritetsklassifiseringerog anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
|
Spor |
Oppdaterte versjoner |
Plattform |
Prioritetsklassifisering |
Tilgjengelighet |
|
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows og macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows og macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows og macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows og macOS |
3 |
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | CVSS grunnscore | CVSS-vektor | CVE-nummer |
| Heltallsoverflyt eller wraparound (CWE-190) |
Vilkårlig kjøring av kode |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
| Lesing utenfor område (CWE-125) |
Minnelekkasje | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
| Lesing utenfor område (CWE-125) |
Minnelekkasje | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
| Dereferanse til nullpeker (CWE-476) |
Program, tjenestenekt |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
| Stakkbasert bufferoverflyt (CWE-121) |
Kjøring av vilkårlig kode |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
| Heapbasert bufferoverflyt (CWE-122) |
Kjøring av vilkårlig kode |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
| Skriving utenfor område (CWE-787) |
Kjøring av vilkårlig kode |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
| Feil inndatavalidering (CWE-20) |
Kjøring av vilkårlig kode |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
| Bruk etter kostnadsfri versjon (CWE-416) |
Kjøring av vilkårlig kode |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
| Skriving utenfor område (CWE-787) |
Vilkårlig kjøring av kode |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
| Stakkbasert bufferoverflyt (CWE-121) |
Kjøring av vilkårlig kode |
Kritisk |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
| Brudd på sikre designprinsipper (CWE-657) |
Eskalering av rettigheter |
Viktig | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
| Brudd på sikre designprinsipper (CWE-657) |
Rettighetsutvidelse |
Viktig |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
| Lesing utenfor område (CWE-125) |
Minnelekkasje |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
| Lesing utenfor område (CWE-125) |
Minnelekkasje |
Viktig |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Takk
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- 0x1byte i samarbeid med Trend Micro Zero Day Initiative - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) – CVE-2023-21611, CVE-2023-21612
- Mat Powell i samarbeid med Trend Micro Zero Day Initiative – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) – CVE-2023-21586
- Anonymous i samarbeid med Trend Micro Zero Day Initiative - CVE-2023-21609
- Vancir (vancir) – CVE-2023-21610
- Ashfaq Ansari og Krishnakant Patil – HackSys Inc i samarbeid med Trend Micro Zero Day Initiative – CVE-2023-21608
Revisjoner:
7. november 2022: Revidert anerkjennelsesdel for CVE-2022-38437
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
