Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader  | APSB23-01

ID biuletynu

Data publikacji

Priorytet

APSB23-01

10 stycznia 2023 r.

3

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do odmowy usługi aplikacji, wykonania dowolnego kodu, eskalacji uprawnień i wycieku pamięci.
                       

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje

Windows i  macOS

Acrobat Reader DC

Continuous 


22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje

 

Windows i macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 i starsze wersje

 

Windows i macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 i starsze wersje

Windows i macOS

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.
   

 

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

22.003.20310

Windows i macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows i macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows i macOS  

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  i macOS 

3

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Podstawowy wynik CVSS Wektor CVSS Numer CVE
Przekroczenie zakresu liczb całkowitych lub błąd typu „wraparound” (CWE-190)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
Odczyt poza zakresem (CWE-125)
Wyciek pamięci Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
Odczyt poza zakresem (CWE-125)
Wyciek pamięci Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
Wyłuskanie wskaźnika o wartości NULL (CWE-476)
Odmowa usługi aplikacji
Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
Przepełnienie bufora na stosie (CWE-121)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
Przepełnienie bufora sterty (CWE-122)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu
Krytyczna
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
Nieprawidłowa walidacja danych wejściowych (CWE-20)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
Użycie pamięci po zwolnieniu (CWE-416)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
Przepełnienie bufora na stosie (CWE-121)
Wykonanie dowolnego kodu
Krytyczna
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
Naruszenie zasad bezpiecznego projektowania (CWE-657)
Eskalacja uprawnień
Istotna 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
Naruszenie zasad bezpiecznego projektowania (CWE-657)
Eskalacja uprawnień
Istotna
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
Odczyt poza zakresem (CWE-125)
Wyciek pamięci
Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
Odczyt poza zakresem (CWE-125)
Wyciek pamięci
Istotna
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-22240
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-22241
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-22242

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

  • Użytkownik 0x1byte współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
  • Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
  • Mat Powell w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613,  CVE-2023-21614, CVE-2023-22240; CVE-2023-22241, CVE-2023-22242
  • KMFL (kmfl) - CVE-2023-21586
  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21609
  • Vancir (vancir) - CVE-2023-21610
  • Ashfaq Ansari i Krishnakant Patil (HackSys Inc) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21608





 

Wersje:

23 stycznia 2023: dodano CVE-2023-22240; CVE-2023-22241, CVE-2023-22242



Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online