ID biuletynu
Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB23-01
|
Data publikacji |
Priorytet |
---|---|---|
APSB23-01 |
10 stycznia 2023 r. |
3 |
Podsumowanie
Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do odmowy usługi aplikacji, wykonania dowolnego kodu, eskalacji uprawnień i wycieku pamięci.
Zagrożone wersje
Ścieżka |
Zagrożone wersje |
Platforma |
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje |
Windows i macOS |
Acrobat Reader DC |
Continuous |
|
Windows i macOS |
|
|
||
Acrobat 2020 |
Classic 2020 |
20.005.30418 i starsze wersje
|
Windows i macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 i starsze wersje |
Windows i macOS |
Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.
Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows i macOS |
3 |
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows i macOS |
3 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows i macOS |
3 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows i macOS |
3 |
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Podstawowy wynik CVSS | Wektor CVSS | Numer CVE |
Przekroczenie zakresu liczb całkowitych lub błąd typu „wraparound” (CWE-190) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
Przepełnienie bufora na stosie (CWE-121) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
Przepełnienie bufora sterty (CWE-122) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
Przepełnienie bufora na stosie (CWE-121) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
Naruszenie zasad bezpiecznego projektowania (CWE-657) |
Eskalacja uprawnień |
Istotna | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
Naruszenie zasad bezpiecznego projektowania (CWE-657) |
Eskalacja uprawnień |
Istotna |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Istotna |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-22240 |
Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu | Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-22241 |
Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu | Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-22242 |
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Użytkownik 0x1byte współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
- Mat Powell w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614, CVE-2023-22240; CVE-2023-22241, CVE-2023-22242
- KMFL (kmfl) - CVE-2023-21586
- Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21609
- Vancir (vancir) - CVE-2023-21610
- Ashfaq Ansari i Krishnakant Patil (HackSys Inc) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21608
Wersje:
23 stycznia 2023: dodano CVE-2023-22240; CVE-2023-22241, CVE-2023-22242
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.