Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Acrobat och Reader  | APSB23-24

Bulletin-ID

Publiceringsdatum

Prioritet

APSB23-24

11 april 2023

3

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar kritiska och viktiga säkerhetsluckor. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod, utökning av privilegier, kringgående av säkerhetsfunktioner och minnesläcka.                                 

Berörda versioner

     

Produkt

Spår

Berörda versioner

Plattform

Acrobat DC 

Continuous 

23.001.20093 och tidigare versioner

Windows och  macOS

Acrobat Reader DC

Continuous

23.001.20093 och tidigare versioner

 

Windows och macOS




     

Acrobat 2020

Classic 2020           

20.005.30441 och tidigare versioner

 

Windows och macOS

Acrobat Reader 2020

Classic 2020           

20.005.30441 och tidigare versioner

Windows och macOS

Om du har frågor om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.

Om du har frågor om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Länkar till installationsprogram finns i den specifika versionsinformationen.     

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:    

Produkt

Spår

Uppdaterade versioner

Plattform

Prioritetsklassificering

Tillgänglighet

Acrobat DC

Continuous

23.001.20143

Windows och macOS

3

Acrobat Reader DC

Continuous

23.001.20143

Windows och macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30467

Windows och macOS

3

Acrobat Reader 2020

Classic 2020 

20.005.30467

Windows  och macOS 

3

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVSS-baspoäng CVSS-vektor CVE-nummer
Överskridning av skrivningsgränser (CWE-787)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26395
Överträdelse av principerna för säker design (CWE-657)
Eskalering av behörighet
Viktig 6.6 CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L
CVE-2023-26396
Överskridning av läsningsgränser (CWE-125)
Minnesläcka
Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-26397
Felaktig validering av indata (CWE-20)
Exekvering av godtycklig kod
Kritisk 8.6 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2023-26405
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Kritisk 8.6 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2023-26406
Felaktig validering av indata (CWE-20)
Exekvering av godtycklig kod
Kritisk  8.6 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2023-26407
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Kritisk 8.6 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2023-26408
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26417
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26418
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26419
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26420
Heltalsunderskott (radbyte eller omslutning) (CWE-191)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26421
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26422
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26423
Användning efter frigöring (CWE-416)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26424
Överskridning av läsningsgränser (CWE-125)
Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-26425

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Mark Vincent Yason (@MarkYason) i samarbete med Trend Micro Zero Day Initiative – CVE-2023-26417, CVE-2023-26418, CVE-2023-26419, CVE-2023-26420, CVE-2023-26422, CVE-2023-26423,
  • AbdulAziz Hariri (@abdhariri) från Haboob SA (@HaboobSa) – CVE-2023-26405, CVE-2023-26406, CVE-2023-26407, CVE-2023-26408
  • Anonym i samarbete med Trend Micro Zero Day Initiative – CVE-2023-26424, CVE-2023-26425, CVE-2023-26421
  • Qingyang Chen från Topsec Alpha Team  CVE-2023-26395
  • Koh M. Nakagawa (tsunekoh) – CVE-2023-26396
  • Kai Lu (k3vinlusec) – CVE-2023-26397

Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?