ID biuletynu
Ostatnia aktualizacja
16 sty 2023
Wskazówki dotyczące zabezpieczeń programów Adobe Acrobat i Reader opublikowane przed wydaniem aktualizacji | APSB23-01
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
Wskazówki dotyczące zabezpieczeń programów Adobe Acrobat i Reader opublikowane przed wydaniem aktualizacji | APSB23-01 |
10 stycznia 2023 r. |
3 |
Podsumowanie
W dniu 10 stycznia 2023 r. firma Adobe planuje wydanie aktualizacji zabezpieczeń programów Adobe Acrobat i Reader na systemy Windows i macOS.
Najnowsze informacje można zawsze znaleźć na blogu zespołu Adobe Product Security Incident Response Team (PSIRT) pod adresem https://helpx.adobe.com/security.html
(Uwaga: po wydaniu aktualizacji te wskazówki na temat zabezpieczeń zostaną zastąpione Biuletynem dotyczącym zabezpieczeń).
Zagrożone wersje
Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do odmowy usługi aplikacji, wykonania dowolnego kodu, eskalacji uprawnień i wycieku pamięci.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów:
|
Ścieżka |
Zagrożone wersje |
Platforma |
|
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje |
Windows i macOS |
|
Acrobat Reader DC |
Continuous |
|
Windows i macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30418 i starsze wersje
|
Windows i macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 i starsze wersje |
Windows i macOS |
Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.
-- Więcej informacji o Adobe Acrobat DC można znaleźć, odwiedzając stronę https://helpx.adobe.com/acrobat/faq.html.
-- Więcej informacji o Adobe Acrobat Reader DC można znaleźć, odwiedzając stronę https://helpx.adobe.com/reader/faq.html.
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows i macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows i macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows i macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows i macOS |
3 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Podstawowy wynik CVSS | Wektor CVSS | Numer CVE |
| Przekroczenie zakresu liczb całkowitych lub błąd typu „wraparound” (CWE-190) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
| Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
| Przepełnienie bufora na stosie (CWE-121) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
| Przepełnienie bufora sterty (CWE-122) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
| Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
| Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
| Użycie pamięci po zwolnieniu (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
| Zapis poza zakresem (CWE-787) |
Wykonanie dowolnego kodu |
Krytyczna | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
| Przepełnienie bufora na stosie (CWE-121) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
| Naruszenie zasad bezpiecznego projektowania (CWE-657) |
Eskalacja uprawnień |
Istotna | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
| Naruszenie zasad bezpiecznego projektowania (CWE-657) |
Eskalacja uprawnień |
Istotna |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Istotna | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
| Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Istotna |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Użytkownik 0x1byte współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
- Mat Powell w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) - CVE-2023-21586
- Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21609
- Vancir (vancir) - CVE-2023-21610
- Ashfaq Ansari i Krishnakant Patil (HackSys Inc) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21608
Wersje:
7 listopada 2022: zmieniono podziękowanie dotyczące problemu CVE-2022-38437
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
