Bülten No
Son güncelleme:
23 Ara 2024
Adobe Acrobat ve Reader için güvenlik güncellemeleri mevcut | APSB24-92
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-92 |
10 Aralık 2024 |
3 |
Özet
Adobe, Windows ve MacOS’da Adobe Acrobat ve Reader için güvenlik güncellemesi yayınladı. Bu güncelleme kritik ve önemli güvenlik açıklarını giderir. Bu açıktan başarılı bir şekilde faydalanılması rastgele kod yürütmeye, bellek sızıntısına ve hizmet uygulama reddine neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
|
Track |
Etkilenen Sürümler |
Platform |
|
|
Acrobat DC |
Continuous |
24.005.20307 ve önceki sürümler |
Windows ve macOS |
|
Acrobat Reader DC |
Continuous |
24.005.20307 ve önceki sürümler |
Windows ve macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30213 ve önceki sürümler (Windows) 24.001.30193 ve önceki sürümler (MacOS) |
Windows ve macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30730 ve önceki sürümler (Windows) 20.005.30710 ve önceki sürümler (MacOS) |
Windows ve macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30730 ve önceki sürümler (Windows) 20.005.30710 ve önceki sürümler (MacOS) |
Windows ve macOS |
Acrobat DC ile ilgili sorular için, lütfen Acrobat DC SSS sayfasını adresini ziyaret edin.
Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC SSS sayfasını adresini ziyaret edin.
Çözüm
Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:
Yardım > Güncellemeleri Kontrol Et seçeneğini belirleyerek kullanıcılar ürün yüklemelerini manuel olarak güncelleyebilirler.
- Güncellemeler algılandığında kullanıcı müdahelesi gerekmeden ürünler otomatik olarak güncellenecektir.
- Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.
IT yöneticileri için (yönetilen ortamlar):
Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya on macOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.
Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:
|
Track |
Güncel Sürümler |
Platform |
Öncelik Derecelendirmesi |
Bulunma Durumu |
|
|
Acrobat DC |
Continuous |
24.005.20320 |
Windows ve macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.005.20320 |
Windows ve macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30225 |
Windows ve macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30748 |
Windows ve macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30748 |
Windows ve macOS |
3 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVSS baz skoru | CVSS vektörü | CVE Numarası |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.0 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2024-49530
|
| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611) | Rastgele kod yürütme | Kritik | 6.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49535 |
| NULL İmleç Referanstan Ayrılma (CWE-476) | Uygulama hizmet engelleme | Önemli | 4.7 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2024-49531 |
| Sınır Dışı Okuma (CWE-125) | Bellek sızıntısı | Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49532 |
| Sınır Dışı Okuma (CWE-125) | Bellek sızıntısı | Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49533 |
| Sınır Dışı Okuma (CWE-125) | Bellek sızıntısı | Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-49534 |
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Cisco Talos - CVE-2024-49532, CVE-2024-49533, CVE-2024-49534
- yopwn - CVE-2024-49530
- Jiri Vinopal - CVE-2024-49531
- Jörn Henkel (joernhe) - CVE-2024-49535
Değişiklikler:
11 Aralık 2024: Çözüm bölümü şunlar ile güncellendi:
- Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
