Бюллетень безопасности Adobe

Поиск

Последнее обновление 28 нояб. 2023 г.

Обновление системы безопасности для Adobe Acrobat и Reader | APSB23-54

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB23-54	14 ноября 2023 г.	3

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и macOS. Это обновление позволяет устранить  критические, важные и средние  уязвимости. При успешном использовании это может привести к выполнению произвольного кода и утечке памяти.

Затронутые версии

Продукт	Отслеживать	Затронутые версии	Платформа
Acrobat DC	Continuous	23.006.20360 и более ранние версии	Windows и macOS
Acrobat Reader DC	Continuous	23.006.20360 и более ранние версии	Windows и macOS

Acrobat 2020	Classic 2020	20.005.30524 и более ранние версии	Windows и macOS
Acrobat Reader 2020	Classic 2020	20.005.30524 и более ранние версии	Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.     
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):     

Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.    

Продукт	Отслеживать	Обновленные версии	Платформа	Рейтинг приоритета	Доступность
Acrobat DC	Continuous	23.006.20380	Windows и macOS	3	Сведения о выпуске
Acrobat Reader DC	Continuous	23.006.20380	Windows и macOS	3	Сведения о выпуске

Acrobat 2020	Classic 2020	20.005.30539	Windows и MacOS	3	Сведения о выпуске
Acrobat Reader 2020	Classic 2020	20.005.30539	Windows  и MacOS	3	Сведения о выпуске

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Базовая оценка CVSS	Вектор CVSS	Номер CVE
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44336
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44337
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44338
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44359
Доступ к неинициализированному указателю (CWE-824)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44365
Запись вне границ буфера (CWE-787)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44366
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44367
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44371
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2023-44372
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2023-44339
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44340
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44348
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44356
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44357
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44358
Чтение за пределами буфера (CWE-125)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44360
Использование данных после освобождения памяти (CWE-416)	Утечка памяти	Средняя	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2023-44361

Благодарности

Компания Adobe выражает благодарность следующим пользователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:   

Мэт Пауэлл из Trend Micro Zero Day Initiative — CVE-2023-44359, CVE-2023-44365, CVE-2023-44366, CVE-2023-44367, CVE-2023-44371, CVE-2023-44348, CVE-2023-44356, CVE-2023-44357, CVE-2023-44358
Анонимное сотрудничество с Trend Micro Zero Day Initiative — CVE-2023-44337, CVE-2023-44338, CVE-2023-44339, CVE-2023-44340, CVE-2023-44360, CVE-2023-44361
Cisco Talos (ciscotalos) — CVE-2023-44336, CVE-2023-44372

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.