Идентификатор бюллетеня
Последнее обновление
16 янв. 2023 г.
Предварительные рекомендации по безопасности для Adobe Acrobat и Reader | APSB23-01
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
Предварительные рекомендации по безопасности для Adobe Acrobat и Reader | APSB23-01 |
10 января 2023 г. |
3 |
Сводка
Компания Adobe планирует выпустить обновления системы безопасности для Adobe Acrobat и Reader для Windows и macOS 10 января 2023 г.
Пользователи могут следить за появлением новой информации на веб-странице группы реагирования на инциденты в области информационной безопасности (Adobe Product Security Response Team, PSIRT) по адресу https://helpx.adobe.com/ru/security.html
(Примечание. После выпуска обновлений эти предварительные рекомендации по безопасности будут заменены бюллетенем безопасности.)
Затронутые версии
В этих обновлениях устранены критические и важные уязвимости. Успешное использование могло привести к отказу в обслуживании приложения, выполнению произвольного кода, повышению уровня полномочий и утечке памяти.
Компания Adobe назначит следующие рейтинги приоритета для этих обновлений:
|
Отслеживать |
Затронутые версии |
Платформа |
|
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) и более ранние версии |
Windows и macOS |
|
Acrobat Reader DC |
Continuous |
|
Windows и macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30418 и более ранние версии
|
Windows и macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 и более ранние версии |
Windows и macOS |
При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.
--Дополнительные сведения об Adobe Acrobat DC см. на странице https://helpx.adobe.com/ru/acrobat/faq.html.
--Дополнительные сведения об Adobe Acrobat Reader DC см. на странице https://helpx.adobe.com/ru/reader/faq.html.
Решение
Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:
Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
Для ИТ-администраторов (в управляемых средах):
Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Отслеживать |
Обновленные версии |
Платформа |
Рейтинг приоритета |
Доступность |
|
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows и macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows и macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows и MacOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows и MacOS |
3 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Базовая оценка CVSS | Вектор CVSS | Номер CVE |
| Переполнение целого числа или циклический возврат (CWE-190) |
Выполнение произвольного кода |
Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти | Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти | Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
| Разыменование NULL указателя (CWE-476) |
Отказ в обслуживании приложения |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
| Переполнение стекового буфера (CWE-121) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
| Переполнение буфера в динамической памяти (CWE-122) |
Выполнение произвольного кода |
Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
| Запись вне границ буфера (CWE-787) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
| Неправильная проверка ввода (CWE-20) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
| Запись вне границ буфера (CWE-787) |
Выполнение произвольного кода |
Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
| Переполнение стекового буфера (CWE-121) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
| Нарушение принципов безопасного проектирования (CWE-657) |
Повышение уровня полномочий |
Важная | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
| Нарушение принципов безопасного проектирования (CWE-657) |
Повышение уровня полномочий |
Важная |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Благодарности
Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- 0x1byte, участник программы Trend Micro Zero Day Initiative — CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Ко М. Накагава (Ко Като) (tsunekoh) — CVE-2023-21611, CVE-2023-21612
- Мэтт Пауэлл, участник программы Trend Micro Zero Day Initiative — CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) — CVE-2023-21586
- Анонимный пользователь, участник программы Trend Micro Zero Day Initiative — CVE-2023-21609
- Vancir (vancir) — CVE-2023-21610
- Ашфак Ансари и Кришнакант Патил — HackSys Inc, участники программы Trend Micro Zero Day Initiative — CVE-2023-21608
Редакции:
7 ноября 2022 г.: Пересмотренное уведомление об ошибке CVE-2022-38437.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.
