Идентификатор бюллетеня
Последнее обновление
17 авг. 2023 г.
Обновление системы безопасности для Adobe Acrobat и Reader | APSB23-30
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB23-30 |
8 августа 2023 г. |
3 |
Сводка
Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические, важные и средние уязвимости. Успешная эксплуатация может привести к отказу в обслуживании приложения, обходу функций безопасности, утечке памяти и выполнению произвольного кода.
Затронутые версии
|
Отслеживать |
Затронутые версии |
Платформа |
|
|
Acrobat DC |
Continuous |
23.003.20244 и более ранние версии |
Windows и macOS |
|
Acrobat Reader DC |
Continuous |
23.003.20244 и более ранние версии
|
Windows и macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30467 и более ранние версии
|
Windows и macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30467 и более ранние версии |
Windows и macOS |
При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.
При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.
Решение
Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:
Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
Для ИТ-администраторов (в управляемых средах):
Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Отслеживать |
Обновленные версии |
Платформа |
Рейтинг приоритета |
Доступность |
|
|
Acrobat DC |
Continuous |
23.003.20269 |
Windows и macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
23.003.20269 |
Windows и macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows и MacOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows и MacOS |
3 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Базовая оценка CVSS | Вектор CVSS | Номер CVE |
| Неправильный контроль доступа (CWE-284) |
Обход функции безопасности |
Критическая |
8.6 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
CVE-2023-29320 |
| Неправильная проверка ввода (CWE-20) |
Отказ в обслуживании приложения |
Важная | 5.6 | CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2023-29299 |
| Использование данных после освобождения памяти (CWE-416) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-29303 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38222 |
| Доступ к неинициализированному указателю (CWE-824) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38223 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38224 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38225 |
| Доступ к неинициализированному указателю (CWE-824) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38226 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38227 |
| Использование данных после освобождения памяти (CWE-416) |
Выполнение произвольного кода |
Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38228 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38229 |
| Использование данных после освобождения памяти (CWE-416) |
Утечка памяти |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38230 |
| Запись вне границ буфера (CWE-787) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38231 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38232 |
| Запись вне границ буфера (CWE-787) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38233 |
| Доступ к неинициализированному указателю (CWE-824) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38234 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38235 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38236 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38237 |
| Использование данных после освобождения памяти (CWE-416) |
Утечка памяти |
Средняя | 4.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38238 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38239 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38240 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38241 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38242 |
| Использование данных после освобождения памяти (CWE-416) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38243 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38244 |
| Неправильная проверка ввода (CWE-20) |
Выполнение произвольного кода |
Важная |
6.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2023-38245 |
| Доступ к неинициализированному указателю (CWE-824) |
Выполнение произвольного кода |
Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38246 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38247 |
| Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38248 |
Благодарности
Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- Мэт Пауэлл из Trend Micro Zero Day Initiative — CVE-2023-38226, CVE-2023-38227, CVE-2023-38228, CVE-2023-38229, CVE-2023-38230, CVE-2023-38231, CVE-2023-38232, CVE-2023-38233, CVE-2023-38234, CVE-2023-38235, CVE-2023-38236, CVE-2023-38237, CVE-2023-38238, CVE-2023-38239, CVE-2023-38240, CVE-2023-38241, CVE-2023-38242, CVE-2023-38244
- Марк Винсент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative — CVE-2023-38222, CVE-2023-38224, CVE-2023-38225
- Анонимный пользователь, участник программы Trend Micro Zero Day Initiative — CVE-2023-38247, CVE-2023-38248, CVE-2023-38243, CVE-2023-38223, CVE-2023-29303
- ycdxsb — CVE-2023-29299
- АбдулАзиз Харири (@abdhariri) из Haboob SA (@HaboobSa) — CVE-2023-29320
- j00sean — CVE-2023-38245, CVE-2023-38246
ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.