Bülten No
Son güncelleme:
17 Ağu 2023
Adobe Acrobat ve Reader için güvenlik güncellemeleri mevcut | APSB23-30
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB23-30 |
8 Ağustos 2023 |
3 |
Özet
Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, kritik, önemli ve orta dereceli güvenlik açıklarını giderir. Başarılı bir istismar, uygulama hizmet reddi, güvenlik özelliği atlama, bellek sızıntısı ve keyfi kod yürütülmesine yol açabilir .
Etkilenen Sürümler
|
Track |
Etkilenen Sürümler |
Platform |
|
|
Acrobat DC |
Continuous |
23.003.20244 ve önceki sürümler |
Windows ve macOS |
|
Acrobat Reader DC |
Continuous |
23.003.20244 ve önceki sürümler
|
Windows ve macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30467 ve önceki sürümler
|
Windows ve macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30467 ve önceki sürümler |
Windows ve macOS |
Acrobat DC ile ilgili sorular için, lütfen Acrobat DC FAQ page adresini ziyaret edin.
Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC SSS sayfasını adresini ziyaret edin.
Çözüm
Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:
Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.
IT yöneticileri için (yönetilen ortamlar):
Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya on macOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.
Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:
|
Track |
Güncel Sürümler |
Platform |
Öncelik Derecelendirmesi |
Bulunma Durumu |
|
|
Acrobat DC |
Continuous |
23.003.20269 |
Windows ve macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
23.003.20269 |
Windows ve macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows ve macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30516.10516 Mac 20.005.30514.10514 Win |
Windows ve macOS |
3 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVSS baz skoru | CVSS vektörü | CVE Numarası |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Kritik |
8.6 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
CVE-2023-29320 |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Uygulama hizmet engelleme |
Önemli | 5.6 | CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2023-29299 |
| Use After Free (CWE-416) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-29303 |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38222 |
| Başlatılmamış İşaretçiye Erişim (CWE-824) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38223 |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38224 |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38225 |
| Başlatılmamış İşaretçiye Erişim (CWE-824) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38226 |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38227 |
| Use After Free (CWE-416) |
Rastgele kod yürütme |
Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38228 |
| Sınır Dışı Okuma (CWE-125) |
Bellek Sızıntısı | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38229 |
| Use After Free (CWE-416) |
Bellek Sızıntısı |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38230 |
| Sınır Dışı Yazma (CWE-787) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38231 |
| Sınır Dışı Okuma (CWE-125) |
Bellek Sızıntısı |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38232 |
| Sınır Dışı Yazma (CWE-787) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38233 |
| Başlatılmamış İşaretçiye Erişim (CWE-824) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38234 |
| Sınır Dışı Okuma (CWE-125) |
Bellek Sızıntısı |
Kritik |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38235 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38236 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38237 |
| Use After Free (CWE-416) |
Bellek sızıntısı |
Orta Dereceli | 4.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38238 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38239 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38240 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38241 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38242 |
| Use After Free (CWE-416) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38243 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-38244 |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Önemli |
6.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2023-38245 |
| Başlatılmamış İşaretçiye Erişim (CWE-824) |
Rastgele kod yürütme |
Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-38246 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38247 |
| Sınır Dışı Okuma (CWE-125) |
Bellek sızıntısı |
Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-38248 |
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Mat Powell of Trend Micro Zero Day Initiative - CVE-2023-38226, CVE-2023-38227, CVE-2023-38228, CVE-2023-38229, CVE-2023-38230, CVE-2023-38231, CVE-2023-38232, CVE-2023-38233, CVE-2023-38234, CVE-2023-38235, CVE-2023-38236, CVE-2023-38237, CVE-2023-38238, CVE-2023-38239, CVE-2023-38240, CVE-2023-38241, CVE-2023-38242, CVE-2023-38244
- Trend Micro Zero Day Initiative ile çalışan Mark Vincent Yason (@MarkYason) - CVE-2023-38222, CVE-2023-38224, CVE-2023-38225
- Trend Micro Zero Day Initiative ile anonim çalışma - CVE-2023-38247, CVE-2023-38248, CVE-2023-38243, CVE-2023-38223, CVE-2023-29303
- ycdxsb - CVE-2023-29299
- AbdulAziz Hariri (@abdhariri) of Haboob SA (@HaboobSa) - CVE-2023-29320
- j00sean - CVE-2023-38245, CVE-2023-38246
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi