Бюллетень безопасности Adobe

Поиск

Последнее обновление 19 апр. 2023 г.

Обновление системы безопасности для Adobe Acrobat и Reader | APSB23-24

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB23-24	11 апреля 2023 г.	3

Сводка

Компания Adobe выпустила обновления системы безопасности Adobe Acrobat и Reader для Windows и macOS. В этих обновлениях устранены критические и важные уязвимости. Успешная эксплуатация может привести к выполнению произвольного кода, повышению уровня полномочий, обходу функций безопасности и утечке памяти.                

Затронутые версии

Продукт	Отслеживать	Затронутые версии	Платформа
Acrobat DC	Continuous	23.001.20093 и более ранние версии	Windows и macOS
Acrobat Reader DC	Continuous	23.001.20093 и более ранние версии	Windows и macOS

Acrobat 2020	Classic 2020	20.005.30441  и более ранние версии	Windows и macOS
Acrobat Reader 2020	Classic 2020	20.005.30441  и более ранние версии	Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.     
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):     

Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Продукт	Отслеживать	Обновленные версии	Платформа	Рейтинг приоритета	Доступность
Acrobat DC	Continuous	23.001.20143	Windows и macOS	3	Сведения о выпуске
Acrobat Reader DC	Continuous	23.001.20143	Windows и macOS	3	Сведения о выпуске

Acrobat 2020	Classic 2020	20.005.30467	Windows и MacOS	3	Сведения о выпуске
Acrobat Reader 2020	Classic 2020	20.005.30467	Windows  и MacOS	3	Сведения о выпуске

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Базовая оценка CVSS	Вектор CVSS	Номер CVE
Запись вне границ буфера (CWE-787)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26395
Нарушение принципов безопасного проектирования (CWE-657)	Повышение уровня полномочий	Важная	6.6	CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L	CVE-2023-26396
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-26397
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26405
Неправильный контроль доступа (CWE-284)	Обход функции безопасности	Критическая	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26406
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26407
Неправильный контроль доступа (CWE-284)	Обход функции безопасности	Критическая	8.6	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H	CVE-2023-26408
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26417
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26418
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26419
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26420
Недополнение целого числа (возврат или циклический возврат) (CWE-191)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26421
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26422
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26423
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26424
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-26425

Благодарности

Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов: 

Марк Винсент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative - CVE-2023-26417, CVE-2023-26418, CVE-2023-26419, CVE-2023-26420, CVE-2023-26422, CVE-2023-26423,
АбдулАзиз Харири (@abdhariri) из Haboob SA (@HaboobSa) — CVE-2023-26405, CVE-2023-26406, CVE-2023-26407, CVE-2023-26408
Анонимный пользователь, участник программы Trend Micro Zero Day Initiative - CVE-2023-26424, CVE-2023-26425, CVE-2023-26421
Цинян Чэнь из группы Topsec Alpha Team CVE-2023-26395
Ко М. Накагава (tsunekoh) — CVE-2023-26396
Кай Лу (k3vinlusec) — CVE-2023-26397