Adobe – sikkerhetsbulletin

Søk

Sist oppdatert 17. aug. 2023

Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB23-30

Bulletin-ID	Publiseringsdato	Prioritet
APSB23-30	8. august 2023	3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer kritiske, viktige og moderate sikkerhetsproblemer. Vellykket utnyttelse kan føre til tjenestenekt for program, omgåelse av sikkerhetsfunksjon, minnelekkasje og kjøring av vilkårlig kode.

Berørte versjoner

Produkt	Spor	Berørte versjoner	Plattform
Acrobat DC	Continuous	Versjon 23.003.20244 og tidligere	Windows og macOS
Acrobat Reader DC	Continuous	Versjon 23.003.20244 og tidligere	Windows og macOS

Acrobat 2020	Classic 2020	Versjon 20.005.30467 og tidligere	Windows og macOS
Acrobat Reader 2020	Classic 2020	Versjon 20.005.30467 og tidligere	Windows og macOS

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     
Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.     
Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer):     

Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.
Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH.

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:    

Produkt	Spor	Oppdaterte versjoner	Plattform	Prioritetsklassifisering	Tilgjengelighet
Acrobat DC	Continuous	23.003.20269	Windows og macOS	3	Utgivelsesmerknader
Acrobat Reader DC	Continuous	23.003.20269	Windows og macOS	3	Utgivelsesmerknader

Acrobat 2020	Classic 2020	20.005.30516.10516 Mac 20.005.30514.10514 Win	Windows og macOS	3	Utgivelsesmerknader
Acrobat Reader 2020	Classic 2020	20.005.30516.10516 Mac 20.005.30514.10514 Win	Windows  og macOS	3	Utgivelsesmerknader

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori	Sikkerhetsprobleminnvirkning	Alvorlighetsgrad	CVSS grunnscore	CVSS-vektor	CVE-nummer
Feil tilgangskontroll (CWE-284)	Omgåelse av sikkerhetsfunksjon	Kritisk	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-29320
Feil inndatavalidering (CWE-20)	Program, tjenestenekt	Viktig	5.6	CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H	CVE-2023-29299
Bruk etter kostnadsfri versjon (CWE-416)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-29303
Bruk etter kostnadsfri versjon (CWE-416)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38222
Tilgang av ikke-initialisert peker (CWE-824)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38223
Bruk etter kostnadsfri versjon (CWE-416)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38224
Bruk etter kostnadsfri versjon (CWE-416)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38225
Tilgang av ikke-initialisert peker (CWE-824)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38226
Bruk etter kostnadsfri versjon (CWE-416)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38227
Bruk etter kostnadsfri versjon (CWE-416)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38228
Lesing utenfor område (CWE-125)	Minnelekkasje	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38229
Bruk etter kostnadsfri versjon (CWE-416)	Minnelekkasje	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38230
Skriving utenfor område (CWE-787)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38231
Lesing utenfor område (CWE-125)	Minnelekkasje	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38232
Skriving utenfor område (CWE-787)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38233
Tilgang av ikke-initialisert peker (CWE-824)	Kjøring av vilkårlig kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38234
Lesing utenfor område (CWE-125)	Minnelekkasje	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38235
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38236
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38237
Bruk etter kostnadsfri versjon (CWE-416)	Minnelekkasje	Moderat	4.0	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-38238
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38239
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38240
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38241
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38242
Bruk etter kostnadsfri versjon (CWE-416)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38243
Lesing utenfor område (CWE-125)	Minnelekkasje	Viktig	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-38244
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Viktig	6.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N	CVE-2023-38245
Tilgang av ikke-initialisert peker (CWE-824)	Vilkårlig kjøring av kode	Kritisk	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-38246
Lesing utenfor område (CWE-125)	Minnelekkasje	Moderat	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-38247
Lesing utenfor område (CWE-125)	Minnelekkasje	Moderat	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-38248

Takk

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:

Mat Powell fra Trend Micro Zero Day Initiative - CVE-2023-38226, CVE-2023-38227, CVE-2023-38228, CVE-2023-38229, CVE-2023-38230, CVE-2023-38231, CVE-2023-38232, CVE-2023-38233, CVE-2023-38234, CVE-2023-38235, CVE-2023-38236, CVE-2023-38237, CVE-2023-38238, CVE-2023-38239, CVE-2023-38240, CVE-2023-38241, CVE-2023-38242, CVE-2023-38244
Mark Vincent Yason (@MarkYason) i samarbeid med Trend Micro Zero Day Initiative - CVE-2023-38222, CVE-2023-38224, CVE-2023-38225
Anonymous i samarbeid med Trend Micro Zero Day Initiative - CVE-2023-38247, CVE-2023-38248, CVE-2023-38243, CVE-2023-38223, CVE-2023-29303
ycdxsb - CVE-2023-29299
AbdulAziz Hariri (@abdhariri) fra Haboob SA (@HaboobSa) - CVE-2023-29320
j00sean - CVE-2023-38245, CVE-2023-38246

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.

Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.

Få hjelp raskere og enklere

Ny bruker?