Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Acrobat e Reader  | APSB22-16

ID do boletim

Data de publicação

Prioridade

APSB22-16

12 de abril de 2022

2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem  múltiplas vulnerabilidades críticasimportantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrária, falha de memoria, desvio do recurso de segurança e escalonamento de privilégios.          

Versões afetadas

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

22.001.20085 e versões anteriores

Windows e  macOS

Acrobat Reader DC

Continuous 

22.001.20085 e versões anteriores 
 

Windows e macOS




     

Acrobat 2020

Classic 2020           

20.005.30314 e versões anteriores  (Windows)


20.005.30311 e versões anteriores (macOS)

Windows e macOS

Acrobat Reader 2020

Classic 2020           

20.005.30314 e versões anteriores  (Windows)


20.005.30311 e versões anteriores (macOS)

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.012.30205 e versões anteriores          

Windows e macOS

Acrobat Reader 2017

Classic 2017

17.012.30205  e versões anteriores        
  

Windows e macOS

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC

Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

22.001.20117 (Windows)


22.001.20112 (Mac)

Windows e macOS

2

Acrobat Reader DC

Continuous

22.001.20117 (Windows)


22.001.20112 (Mac)

Windows e macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30334 (Windows)

 

20.005.30331 (Mac)

 

Windows  e macOS  

2

Acrobat Reader 2020

Classic 2020 

20.005.30334 (Windows)

 

20.005.30331 (Mac)

Windows  e macOS 

2

Acrobat 2017

Classic 2017

17.012.30229 (Windows)


17.012.30227 (Mac)

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

17.012.30229 (Windows)


17.012.30227 (Mac)

Windows e macOS

2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS Vetor CVSS Número CVE
Usar após período gratuito (CWE-416)
Falha de memória Moderado 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-24101
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24103
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24104
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27785
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24102
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27786
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27787
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27788
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27789
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27790
Transbordamento de dados baseado em pilha (CWE-121)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27791
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27792
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27793
Acesso ao Ponteiro não-inicializado (CWE-824)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27794
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27795
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27796
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27797
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27798
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27799
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27800
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27801
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27802
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28230
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28231
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28232
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28233
Estouro de buffer baseado em heap (CWE-122)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28234
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28235
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28236
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28237
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28238
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28239
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28240
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28241
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28242
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28243
Violação de princípios de design seguro (CWE-657)
Execução de código arbitrário
Importante 6.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
CVE-2022-28244
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28245
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28246
Suporte ausente para verificação de integridade(CWE-353)
Escalonamento de privilégio
Importante
6.7 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28247
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28248
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28249
Usar após período gratuito (CWE-416)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28250
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28251
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28252
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28253
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28254
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28255
Usar após período gratuito (CWE-416)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28256
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28257
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28258
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28259
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28260
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28261
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28262
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28263
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28264
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28265
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28266
Leitura fora dos limites (CWE-125)
Falha de memória Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28267
Leitura fora dos limites (CWE-125)
Falha de memória Moderado  3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28268
Usar após período gratuito (CWE-416)
Falha de memória Moderado  3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28269
Usar após período gratuito (CWE-416)
Falha de memória Moderado 5.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28837
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28838
Leitura fora dos limites (CWE-125)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-35672
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-44512
Escrita fora dos limites (CWE-787)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-44513
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-44514
Leitura fora dos limites (CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-44515
Leitura fora dos limites (CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-44516
Leitura fora dos limites (CWE-125)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-44517
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-44518
Usar após período gratuito (CWE-416)
Vazamento de memória
Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-44519
Usar após período gratuito (CWE-416)
Execução de código arbitrário
Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-44520

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • Mat Powell da Trend Micro Zero Day Initiative - CVE-2022-28250, CVE-2022-28251, CVE-2022-28252, CVE-2022-28253, CVE-2022-28254, CVE-2022-28255, CVE-2022-28256, CVE-2022-28257, CVE-2022-28258, CVE-2022-28259, CVE-2022-28260, CVE-2022-28261, CVE-2022-28262, CVE-2022-28263, CVE-2022-28264, CVE-2022-28265, CVE-2022-28266, CVE-2022-28267, CVE-2022-28268, CVE-2022-28239, CVE-2022-28240, CVE-2022-28241, CVE-2022-28242, CVE-2022-28243, CVE-2022-27800, CVE-2022-27802, CVE-2022-24101, CVE-2022-28837, CVE-2022-28838, CVE-2022-44514, CVE-2022-44515, CVE-2022-44516, CVE-2022-44517, CVE-2022-44518, CVE-2022-44519, CVE-2022-44520
  • Anônimo trabalhando com Trend Micro Zero Day Initiative - CVE-2022-27785, CVE-2022-27786, CVE-2022-27787, CVE-2022-27788, CVE-2022-27790, CVE-2022-27791, CVE-2022-27792, CVE-2022-27793, CVE-2022-27794, CVE-2022-27797, CVE-2022-27798, CVE-2022-27801, CVE-2022-28231, CVE-2022-28232, CVE-2022-28233, CVE-2022-28236, CVE-2022-28237, CVE-2022-28238, CVE-2022-28245, CVE-2022-28246, CVE-2022-28248, CVE-2022-28269, CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
  • Mark Vincent Yason (@MarkYason) trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-27795, CVE-2022-27796, CVE-2022-27799, CVE-2022-28230, CVE-2022-28235
  • Krishnakant Patil e Ashfaq Ansari - HackSys Inc trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-28249, CVE-2022-27789
  • Equipe Lockheed Martin Red - CVE-2022-28247
  • Gehirn Inc. - Maru Asahina, Ren Hirasawa, Tatsuki Maekawa(@mtk0308), Tsubasa Iinuma, Hikaru Ida(@howmuch515) - CVE-2022-28244
  • RUC_SE_SEC (ruc_se_sec) - CVE-2022-28234
  • kdot trabalhando com a Zero Day Initiative da Trend Micro -  CVE-2022-35672, CVE-2022-44512, CVE-2022-44513

Revisões:

25 de maio de 2023: Atualizados os agradecimentos e os detalhes de CVE para CVE-2022-44512, CVE-2022-44513, CVE-2022-44514, CVE-2022-44515, CVE-2022-44516, CVE-2022-44517, CVE-2022-44518, CVE-2022-44519, CVE-2022-44520

26 de julho de 2022: reconhecimento e detalhes atualizados para CVE-2022-35672

9 de maio de 2022: acrescentados detalhes do CVE para CVE-2022-28837, CVE-2022-28838

18 de abril de 2022: Reconhecimento atualizado para CVE-2022-24102, CVE-2022-24103, CVE-2022-24104


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?