Bulletin-ID
Senast uppdaterad den
16 jan. 2023
Förhandsmeddelande om säkerhetsuppdateringar för Adobe Acrobat och Reader | APSB23-01
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
Förhandsmeddelande om säkerhetsuppdateringar för Adobe Acrobat och Reader | APSB23-01 |
10 januari 2023 |
3 |
Sammanfattning
Adobe planerar att släppa säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS den 10 januari 2023.
Du kan se den senaste informationen om PSIRT-bloggen (Adobe Product Security Incident Response Team) på https://helpx.adobe.com/security.html
(Obs! Det här förhandsmeddelandet ersätts med säkerhetsbulletinen när uppdateringen släpps.)
Berörda versioner
Dessa uppdateringar åtgärdar kritiska och viktiga säkerhetsluckor. Framgångsrikt utnyttjande kan leda till överbelastning av applikationen, godtycklig exekvering av kod, eskalering av behörighet och minnesläckage.
Adobe ger följande prioritetsklassificeringar till dessa uppdateringar:
|
Spår |
Berörda versioner |
Plattform |
|
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) och tidigare versioner |
Windows och macOS |
|
Acrobat Reader DC |
Continuous |
|
Windows och macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30418 och tidigare versioner
|
Windows och macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 och tidigare versioner |
Windows och macOS |
Gå till sidan med vanliga frågor om Acrobat DC om du har frågor om Acrobat DC.
--Mer information om Adobe Acrobat DC finns på https://helpx.adobe.com/acrobat/faq.html.
--Mer information om Adobe Acrobat Reader DC finns på https://helpx.adobe.com/reader/faq.html.
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.
För IT-administratörer (administrerade miljöer):
Länkar till installationsprogram finns i den specifika versionsinformationen.
Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
|
Spår |
Uppdaterade versioner |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows och macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows och macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows och macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows och macOS |
3 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVSS-baspoäng | CVSS-vektor | CVE-nummer |
| Heltalsspill eller wraparound (CWE-190) |
Exekvering av godtycklig kod |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
| NULL-pekaravvikelse (CWE-476) |
Denial-of-service för program |
Viktigt | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
| Stackbaserat buffertspill (CWE-121) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
| Stackbaserat buffertspill (CWE-122) |
Exekvering av godtycklig kod |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
| Överskridning av skrivningsgränser (CWE-787) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
| Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
| Överskridning av skrivningsgränser (CWE-787) |
Exekvering av godtycklig kod |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
| Stackbaserat buffertspill (CWE-121) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
| Överträdelse av principerna för säker design (CWE-657) |
Eskalering av behörighet |
Viktig | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
| Överträdelse av principerna för säker design (CWE-657) |
Eskalering av behörighet |
Viktig |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- 0x1byte i samarbete med Trend Micro Zero Day Initiative – CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) – CVE-2023-21611, CVE-2023-21612
- Mat Powell med Trend Micro Zero Day Initiative – CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) – CVE-2023-21586
- Anonym i samarbete med Trend Micro Zero Day Initiative – CVE-2023-21609
- Vancir (vancir) – CVE-2023-21610
- Ashfaq Ansari och Krishnakant Patil – HackSys Inc i samarbete med Trend Micro Zero Day Initiative – CVE-2023-21608
Revisioner:
7 november 2022: Reviderat erkännande för CVE-2022-38437
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
