ID do boletim
Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB22-16
|
Data de publicação |
Prioridade |
---|---|---|
APSB22-16 |
12 de abril de 2022 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem múltiplas vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrária, falha de memoria, desvio do recurso de segurança e escalonamento de privilégios.
Versões afetadas
Track |
Versões afetadas |
Plataforma |
|
Acrobat DC |
Continuous |
22.001.20085 e versões anteriores |
Windows e macOS |
Acrobat Reader DC |
Continuous |
22.001.20085 e versões anteriores |
Windows e macOS |
|
|
||
Acrobat 2020 |
Classic 2020 |
20.005.30314 e versões anteriores (Windows)
|
Windows e macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.005.30314 e versões anteriores (Windows)
|
Windows e macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.012.30205 e versões anteriores |
Windows e macOS |
Acrobat Reader 2017 |
Classic 2017 |
17.012.30205 e versões anteriores |
Windows e macOS |
Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC.
Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
Consulte a versão específica da nota de versão para links para instaladores.
Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:
Track |
Versões atualizadas |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|
Acrobat DC |
Continuous |
22.001.20117 (Windows)
|
Windows e macOS |
2 |
|
Acrobat Reader DC |
Continuous |
22.001.20117 (Windows)
|
Windows e macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30334 (Windows)
20.005.30331 (Mac)
|
Windows e macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30334 (Windows)
20.005.30331 (Mac) |
Windows e macOS |
2 |
|
Acrobat 2017 |
Classic 2017 |
17.012.30229 (Windows)
|
Windows e macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
17.012.30229 (Windows)
|
Windows e macOS |
2 |
Detalhes da vulnerabilidade
Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS | Vetor CVSS | Número CVE |
Usar após período gratuito (CWE-416) |
Falha de memória | Moderado | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-24101 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24103 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24104 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27785 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24102 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27786 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27787 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27788 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27789 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27790 |
Transbordamento de dados baseado em pilha (CWE-121) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27791 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27792 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27793 |
Acesso ao Ponteiro não-inicializado (CWE-824) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27794 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27795 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27796 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27797 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27798 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27799 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27800 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27801 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27802 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28230 |
Leitura fora dos limites (CWE-125) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28231 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28232 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28233 |
Estouro de buffer baseado em heap (CWE-122) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28234 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28235 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28236 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28237 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28238 |
Leitura fora dos limites (CWE-125) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28239 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28240 |
Leitura fora dos limites (CWE-125) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28241 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28242 |
Leitura fora dos limites (CWE-125) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28243 |
Violação de princípios de design seguro (CWE-657) |
Execução de código arbitrário |
Importante | 6.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2022-28244 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28245 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28246 |
Suporte ausente para verificação de integridade(CWE-353) |
Escalonamento de privilégio |
Importante |
6.7 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28247 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28248 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28249 |
Usar após período gratuito (CWE-416) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28250 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28251 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28252 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28253 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28254 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28255 |
Usar após período gratuito (CWE-416) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28256 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28257 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28258 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28259 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28260 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28261 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28262 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28263 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28264 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28265 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28266 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28267 |
Leitura fora dos limites (CWE-125) |
Falha de memória | Moderado | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28268 |
Usar após período gratuito (CWE-416) |
Falha de memória | Moderado | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28269 |
Usar após período gratuito (CWE-416) |
Falha de memória | Moderado | 5.5 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28837 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28838 |
Leitura fora dos limites (CWE-125) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-35672 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-44512 |
Escrita fora dos limites (CWE-787) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-44513 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-44514 |
Leitura fora dos limites (CWE-125) |
Vazamento de memória |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-44515 |
Leitura fora dos limites (CWE-125) |
Vazamento de memória |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-44516 |
Leitura fora dos limites (CWE-125) |
Vazamento de memória |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-44517 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-44518 |
Usar após período gratuito (CWE-416) |
Vazamento de memória |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-44519 |
Usar após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-44520 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Mat Powell da Trend Micro Zero Day Initiative - CVE-2022-28250, CVE-2022-28251, CVE-2022-28252, CVE-2022-28253, CVE-2022-28254, CVE-2022-28255, CVE-2022-28256, CVE-2022-28257, CVE-2022-28258, CVE-2022-28259, CVE-2022-28260, CVE-2022-28261, CVE-2022-28262, CVE-2022-28263, CVE-2022-28264, CVE-2022-28265, CVE-2022-28266, CVE-2022-28267, CVE-2022-28268, CVE-2022-28239, CVE-2022-28240, CVE-2022-28241, CVE-2022-28242, CVE-2022-28243, CVE-2022-27800, CVE-2022-27802, CVE-2022-24101, CVE-2022-28837, CVE-2022-28838, CVE-2022-44514, CVE-2022-44515, CVE-2022-44516, CVE-2022-44517, CVE-2022-44518, CVE-2022-44519, CVE-2022-44520
- Anônimo trabalhando com Trend Micro Zero Day Initiative - CVE-2022-27785, CVE-2022-27786, CVE-2022-27787, CVE-2022-27788, CVE-2022-27790, CVE-2022-27791, CVE-2022-27792, CVE-2022-27793, CVE-2022-27794, CVE-2022-27797, CVE-2022-27798, CVE-2022-27801, CVE-2022-28231, CVE-2022-28232, CVE-2022-28233, CVE-2022-28236, CVE-2022-28237, CVE-2022-28238, CVE-2022-28245, CVE-2022-28246, CVE-2022-28248, CVE-2022-28269, CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
- Mark Vincent Yason (@MarkYason) trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-27795, CVE-2022-27796, CVE-2022-27799, CVE-2022-28230, CVE-2022-28235
- Krishnakant Patil e Ashfaq Ansari - HackSys Inc trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-28249, CVE-2022-27789
- Equipe Lockheed Martin Red - CVE-2022-28247
- Gehirn Inc. - Maru Asahina, Ren Hirasawa, Tatsuki Maekawa(@mtk0308), Tsubasa Iinuma, Hikaru Ida(@howmuch515) - CVE-2022-28244
- RUC_SE_SEC (ruc_se_sec) - CVE-2022-28234
- kdot trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-35672, CVE-2022-44512, CVE-2022-44513
Revisões:
25 de maio de 2023: Atualizados os agradecimentos e os detalhes de CVE para CVE-2022-44512, CVE-2022-44513, CVE-2022-44514, CVE-2022-44515, CVE-2022-44516, CVE-2022-44517, CVE-2022-44518, CVE-2022-44519, CVE-2022-44520
26 de julho de 2022: reconhecimento e detalhes atualizados para CVE-2022-35672
9 de maio de 2022: acrescentados detalhes do CVE para CVE-2022-28837, CVE-2022-28838
18 de abril de 2022: Reconhecimento atualizado para CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.