Adobe – sikkerhetsbulletin

Søk

Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader  | APSB24-07

Bulletin-ID

Publiseringsdato

Prioritet

APSB24-07

13. februar 2024

3

Sammendrag

Adobe har lansert en sikkerhetsoppdatering for Adobe Acrobat og Reader for Windows og macOS. Denne oppdateringen adresserer kritiske og viktige sikkerhetsproblemer. Vellykket utnyttelse kan føre til kjøring av vilkårlig kode, tjenestenekt for programmer og minnelekkasje.     

Berørte versjoner

Produkt

Spor

Berørte versjoner

Plattform

Acrobat DC 

Continuous 

23.008.20470 og tidligere versjoner

Windows og macOS

Acrobat Reader DC

Continuous 

23.008.20470 og tidligere versjoner

 

Windows og macOS




     

Acrobat 2020

Classic 2020           

20.005.30539 og tidligere versjoner

 

Windows og macOS

Acrobat Reader 2020

Classic 2020           

20.005.30539 og tidligere versjoner

Windows og macOS

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC

Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:    

Produkt

Spor

Oppdaterte versjoner

Plattform

Prioritetsklassifisering

Tilgjengelighet

Acrobat DC

Continuous

23.008.20533

Windows og macOS

3

Utgivelsesmerknader     

Acrobat Reader DC

Continuous

23.008.20533

Windows og macOS

3

Utgivelsesmerknader     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30574

Windows og macOS

3

Utgivelsesmerknader     

Acrobat Reader 2020

Classic 2020 

20.005.30574
 

Windows  og macOS 

3

Utgivelsesmerknader 

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVSS grunnscore CVSS-vektor CVE-nummer
Skriving utenfor område (CWE-787)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-20726
Skriving utenfor område (CWE-787)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-20727
Skriving utenfor område (CWE-787)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    		CVE-2024-20728
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-30301
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-30303
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-30304
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-30305
Lesing utenfor område (CWE-125)
 Kjøring av vilkårlig kode
 Kritisk
 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-30306
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-20729
Heltallsoverflyt eller wraparound (CWE-190)
 Vilkårlig kjøring av kode
 Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-20730
Bruk etter kostnadsfri versjon (CWE-416)
 Kjøring av vilkårlig kode
 Kritisk
 8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
 CVE-2024-20731
Bruk etter kostnadsfri versjon (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2024-20765
Bruk etter kostnadsfri versjon (CWE-416)
 Minnelekkasje Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-30302
Feil inndatavalidering (CWE-20)
 Program, tjenestenekt
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
 CVE-2024-20733
Bruk etter kostnadsfri versjon (CWE-416)
 Minnelekkasje
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20734
Lesing utenfor område (CWE-125)
 Minnelekkasje
 Viktig
 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20735
Lesing utenfor område (CWE-125)
 Minnelekkasje
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20736
Lesing utenfor område (CWE-125)
 Minnelekkasje
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20747
Lesing utenfor område (CWE-125)
 Minnelekkasje
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20748
Lesing utenfor område (CWE-125)
 Minnelekkasje
 Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
 CVE-2024-20749

Anerkjennelser

Adobe takker følgende forskere for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:    

  • Cisco Talos (ciscotalos) - CVE-2024-20729, CVE-2024-20730, CVE-2024-20731, CVE-2024-20735, CVE-2024-20747, CVE-2024-20748, CVE-2024-20749
  • Anonymous i samarbeid med Trend Micro Zero Day Initiative – CVE-2024-20728, CVE-2024-20734, CVE-2024-20736, CVE-2024-20765
  • Mark Vincent Yason i samarbeid med Trend Micro Zero Day Initiative - CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305, CVE-2024-30306
  • Kai Lu fra Zscalers ThreatLabz – CVE-2024-20733

Revisjoner:

2. mai 2024: Lagt til CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305 og CVE-2024-30306

28. februar 2024: Lagt til CVE-2024-20765

20. februar 2024: Oppdatert anerkjennelse for CVE-2024-20733

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.

Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.

Få hjelp raskere og enklere

Ny bruker?

Hurtigkoblinger

Vis alle planene dine Administrer planene dine
Vis hurtigkoblinger
Skjul hurtigkoblinger