Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Ostatnia aktualizacja 28 lis 2023

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB23-54

ID biuletynu	Data publikacji	Priorytet
APSB23-54	14 listopada 2023 r.	3

Podsumowanie

Firma Adobe udostępniła aktualizację zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Ta aktualizacja usuwa wiele krytycznych, istotnych i umiarkowanie ważnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu i wycieku pamięci.

Zagrożone wersje

Produkt	Ścieżka	Zagrożone wersje	Platforma
Acrobat DC	Continuous	23.006.20360 i starsze wersje	Windows i macOS
Acrobat Reader DC	Continuous	23.006.20360 i starsze wersje	Windows i macOS

Acrobat 2020	Classic 2020	20.005.30524 i starsze wersje	Windows i macOS
Acrobat Reader 2020	Classic 2020	20.005.30524 i starsze wersje	Windows i macOS

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC.

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):     

Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt	Ścieżka	Zaktualizowane wersje	Platforma	Ocena priorytetu	Dostępność
Acrobat DC	Continuous	23.006.20380	Windows i macOS	3	Uwagi na temat wersji
Acrobat Reader DC	Continuous	23.006.20380	Windows i macOS	3	Uwagi na temat wersji

Acrobat 2020	Classic 2020	20.005.30539	Windows i macOS	3	Uwagi na temat wersji
Acrobat Reader 2020	Classic 2020	20.005.30539	Windows  i macOS	3	Uwagi na temat wersji

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Ostrość	Podstawowy wynik CVSS	Wektor CVSS	Numer CVE
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44336
Odczyt poza zakresem (CWE-125)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44337
Odczyt poza zakresem (CWE-125)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44338
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44359
Dostęp do niezainicjowanego wskaźnika (CWE-824)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44365
Zapis poza zakresem (CWE-787)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44366
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44367
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44371
Użycie pamięci po zwolnieniu (CWE-416)	Wykonanie dowolnego kodu	Krytyczna	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44372
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Istotna	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-44339
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Średnia	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44340
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Umiarkowana	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44348
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Umiarkowana	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44356
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Średnia	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44357
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Średnia	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44358
Odczyt poza zakresem (CWE-125)	Wyciek pamięci	Średnia	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44360
Użycie pamięci po zwolnieniu (CWE-416)	Wyciek pamięci	Średnia	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44361

Podziękowania

Firma Adobe składa podziękowania następującemu badaczowi za zgłoszenie tej luki w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro — CVE-2023-44359, CVE-2023-44365, CVE-2023-44366, CVE-2023-44367, CVE-2023-44371, CVE-2023-44348, CVE-2023-44356, CVE-2023-44357, CVE-2023-44358
Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro — CVE-2023-44337, CVE-2023-44338, CVE-2023-44339, CVE-2023-44340, CVE-2023-44360, CVE-2023-44361
Cisco Talos (ciscotalos) — CVE-2023-44336, CVE-2023-44372

UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?