Wskazówki dotyczące zabezpieczeń programów Adobe Acrobat i Reader opublikowane przed wydaniem aktualizacji

Wskazówki dotyczące zabezpieczeń programów Adobe Acrobat i Reader opublikowane przed wydaniem aktualizacji   | APSB23-01

ID biuletynu

Data publikacji

Priorytet

Wskazówki dotyczące zabezpieczeń programów Adobe Acrobat i Reader opublikowane przed wydaniem aktualizacji   | APSB23-01

10 stycznia 2023 r.

3

Podsumowanie


W dniu 10 stycznia 2023 r. firma Adobe planuje wydanie aktualizacji zabezpieczeń programów Adobe Acrobat i Reader na systemy Windows i macOS.                

Najnowsze informacje można zawsze znaleźć na blogu zespołu Adobe Product Security Incident Response Team (PSIRT) pod adresem  https://helpx.adobe.com/security.html

(Uwaga: po wydaniu aktualizacji te wskazówki na temat zabezpieczeń zostaną zastąpione Biuletynem dotyczącym zabezpieczeń).                                   

Zagrożone wersje

Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do odmowy usługi aplikacji, wykonania dowolnego kodu, eskalacji uprawnień i wycieku pamięci.

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów:  

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje

Windows i  macOS

Acrobat Reader DC

Continuous 


22.003.20282 (Win), 22.003.20281 (Mac) i starsze wersje

 

Windows i macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 i starsze wersje

 

Windows i macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 i starsze wersje

Windows i macOS

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.   

-- Więcej informacji o Adobe Acrobat DC można znaleźć, odwiedzając stronę https://helpx.adobe.com/acrobat/faq.html.                

-- Więcej informacji o Adobe Acrobat Reader DC można znaleźć, odwiedzając stronę https://helpx.adobe.com/reader/faq.html.              

 

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

22.003.20310

Windows i macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows i macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows i macOS  

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  i macOS 

3

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Podstawowy wynik CVSS Wektor CVSS Numer CVE
Przekroczenie zakresu liczb całkowitych lub błąd typu „wraparound” (CWE-190)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
Odczyt poza zakresem (CWE-125)
Wyciek pamięci Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
Odczyt poza zakresem (CWE-125)
Wyciek pamięci Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
Wyłuskanie wskaźnika o wartości NULL (CWE-476)
Odmowa usługi aplikacji
Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
Przepełnienie bufora na stosie (CWE-121)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
Przepełnienie bufora sterty (CWE-122)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu
Krytyczna
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
Nieprawidłowa walidacja danych wejściowych (CWE-20)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
Użycie pamięci po zwolnieniu (CWE-416)
Wykonanie dowolnego kodu
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
Zapis poza zakresem (CWE-787)
Wykonanie dowolnego kodu
Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
Przepełnienie bufora na stosie (CWE-121)
Wykonanie dowolnego kodu
Krytyczna
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
Naruszenie zasad bezpiecznego projektowania (CWE-657)
Eskalacja uprawnień
Istotna 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
Naruszenie zasad bezpiecznego projektowania (CWE-657)
Eskalacja uprawnień
Istotna
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
Odczyt poza zakresem (CWE-125)
Wyciek pamięci
Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
Odczyt poza zakresem (CWE-125)
Wyciek pamięci
Istotna
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

  • Użytkownik 0x1byte współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
  • Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
  • Mat Powell w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613,  CVE-2023-21614
  • KMFL (kmfl) - CVE-2023-21586
  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21609
  • Vancir (vancir) - CVE-2023-21610
  • Ashfaq Ansari i Krishnakant Patil (HackSys Inc) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2023-21608





 

Wersje:

7 listopada 2022: zmieniono podziękowanie dotyczące problemu CVE-2022-38437


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online