Bulletin-ID
Senast uppdaterad den
17 aug. 2023
Säkerhetsuppdatering tillgänglig för Adobe Acrobat och Reader | APSB23-30
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB23-30 |
8 augusti 2023 |
3 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar kritiska, viktiga och måttliga sårbarheter. Ett framgångsrikt utnyttjande kan leda till överbelastning av applikationen, kringgående av säkerhetsfunktioner och exekvering av godtycklig kod.
Berörda versioner
|
Spår |
Berörda versioner |
Plattform |
|
|
Acrobat DC |
Continuous |
23.003.20244 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader DC |
Continuous |
23.003.20244 och tidigare versioner
|
Windows och macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30467 och tidigare versioner
|
Windows och macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30467 och tidigare versioner |
Windows och macOS |
Om du har frågor om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.
Om du har frågor om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.
För IT-administratörer (administrerade miljöer):
Länkar till installationsprogram finns i den specifika versionsinformationen.
Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
|
Spår |
Uppdaterade versioner |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|
|
Acrobat DC |
Continuous |
23.003.20269 |
Windows och macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
23.003.20269 |
Windows och macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows och macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows och macOS |
3 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVSS-baspoäng | CVSS-vektor | CVE-nummer |
| Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
8.6 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
CVE-2023-29320 |
| Felaktig validering av indata (CWE-20) |
Denial-of-service för program |
Viktigt | 5.6 | CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2023-29299 |
| Användning efter frigöring (CWE-416) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-29303 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38222 |
| Tillgång till oinitierad pekare (CWE-824) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38223 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38224 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38225 |
| Tillgång till oinitierad pekare (CWE-824) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38226 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38227 |
| Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38228 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38229 |
| Användning efter frigöring (CWE-416) |
Minnesläcka |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38230 |
| Överskridning av skrivningsgränser (CWE-787) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38231 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38232 |
| Överskridning av skrivningsgränser (CWE-787) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38233 |
| Tillgång till oinitierad pekare (CWE-824) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38234 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38235 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38236 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38237 |
| Användning efter frigöring (CWE-416) |
Minnesläcka |
Måttlig | 4.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38238 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38239 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38240 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38241 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38242 |
| Användning efter frigöring (CWE-416) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38243 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38244 |
| Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Viktig |
6.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2023-38245 |
| Tillgång till oinitierad pekare (CWE-824) |
Exekvering av godtycklig kod |
Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38246 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38247 |
| Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38248 |
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Mat Powell från Trend Micro Zero Day Initiative – CVE-2023-38226, CVE-2023-38227, CVE-2023-38228, CVE-2023-38229, CVE-2023-38230, CVE-2023-38231, CVE-2023-38232, CVE-2023-38233, CVE-2023-38234, CVE-2023-38235, CVE-2023-38236, CVE-2023-38237, CVE-2023-38238, CVE-2023-38239, CVE-2023-38240, CVE-2023-38241, CVE-2023-38242, CVE-2023-38244
- Mark Vincent Yason (@MarkYason) i samarbete med Trend Micro Zero Day Initiative – CVE-2023-38222, CVE-2023-38224, CVE-2023-38225
- Anonym i samarbete med Trend Micro Zero Day Initiative – CVE-2023-38247, CVE-2023-38248, CVE-2023-38243, CVE-2023-38223, CVE-2023-29303
- ycdxsb – CVE-2023-29299
- AbdulAziz Hariri (@abdhariri) från Haboob SA (@HaboobSa) – CVE-2023-29320
- j00sean – CVE-2023-38245, CVE-2023-38246
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
