Adobe Reader < 17.012.30227 / 17.012.30229 / 20.005.30331 / 20.005.30331 / 20.005.30334 / 20.005.30334 / 22.001.20112 / 22.001.20117 の複数の脆弱性 (APSB22-16)
high Nessus プラグイン ID 159657
Language:
概要
リモートの Windows ホストにインストールされている Adobe Reader のバージョンは、複数の脆弱性の影響を受けます。説明
リモート Windows ホストにインストールされている Adobe Reader は、17.012.30227、17.012.30229、20.005.30331、20.005.30331、20.005.30334、20.005.30334、22.001.20112、22.001.20117 以前のバージョンです。そのため、以下の複数の脆弱性の影響を受けます。- 機密メモリの漏洩につながる可能性があるメモリ解放後使用 (Use After Free) の脆弱性 (CWE-416)。(CVE-2022-24101、CVE-2022-28250、CVE-2022-28256、CVE-2022-28269、CVE-2022-28837)
- 現在のユーザーのコンテキストで任意のコードが実行される可能性があるメモリ解放後使用 (Use After Free) の脆弱性 (CWE-416)。(CVE-2022-24102、CVE-2022-24103、CVE-2022-24104、CVE-2022-27785、CVE-2022-27786、CVE-2022-27789、CVE-2022-27790、CVE-2022-27795、CVE-2022-27796、CVE-2022-27797、CVE-2022-27799、CVE-2022-27800、CVE-2022-27801、CVE-2022-27802、CVE-2022-28230、CVE-2022-28232、CVE-2022-28233、CVE-2022-28235、CVE-2022-28237、CVE-2022-28238、CVE-2022-28240、CVE-2022-28242、CVE-2022-28838、CVE-2022-44514、CVE-2022-44518、CVE-2022-44519、CVE-2022-44520)
- 現在のユーザーのコンテキストで任意のコードが実行される可能性がある領域外書き込みの脆弱性 (CWE-787)。(CVE-2022-27787、CVE-2022-27788、CVE-2022-27792、CVE-2022-27793、CVE-2022-27798、CVE-2022-28236、CVE-2022-44512、CVE-2022-44513)
- 割り当てられたメモリ構造の末尾を超えて読み取りが行われる可能性がある doc オブジェクトを処理する際の範囲外読み取りの脆弱性 (CWE-125)。(CVE-2022-28231、CVE-2022-28239、CVE-2022-28241、CVE-2022-28243、CVE-2022-28245、CVE-2022-28246、CVE-2022-28248、CVE-2022-28249、CVE-2022-28251、CVE-2022-28252、CVE-2022-28253、CVE-2022-28254、CVE-2022-28255、CVE-2022-28257、CVE-2022-28258、CVE-2022-28259、CVE-2022-28260、CVE-2022-28261、CVE-2022-28262、CVE-2022-28263、CVE-2022-28264、CVE-2022-28265、CVE-2022-28266、CVE-2022-28267、CVE-2022-28268、CVE-2022-35672、CVE-2022-44515、CVE-2022-44516、CVE-2022-44517)
- 現在のユーザーのコンテキストで任意のコードが実行される可能性があるフォントの安全でない処理によるスタックベースのバッファ オーバーフローの脆弱性 (CWE-121)。(CVE-2022-27791)
- 現在のユーザーのコンテキストで任意のコードが実行される可能性がある埋め込みフォントの処理時に初期化されていない変数が使用される脆弱性 (CWE-824)。(CVE-2022-27794)
- 現在のユーザーのコンテキストで任意のコードが実行される可能性がある細工された .pdf ファイルの安全でない処理によるヒープベースのバッファオーバーフローの脆弱性 (CWE-122)。(CVE-2022-28234)
- 攻撃者が任意に設定したリクエストをクロスオリジン攻撃ターゲットのドメインに送信する可能性があるコンテンツセキュリティポリシーをバイパスすることによる安全な設計原則の違反の脆弱性 (CWE-657)。(CVE-2022-28244)
- ローカル権限昇格が発生する可能性がある制御されていない検索パスの脆弱性 (CWE-353)。(CVE-2022-28247)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Adobe Reader バージョン 17.012.30227 / 17.012.30229 / 20.005.30331 / 20.005.30331 / 20.005.30334 / 20.005.30334 / 22.001.20112 / 22.001.20117 またはそれ以降にアップグレードしてください。参考資料
https://cwe.mitre.org/data/definitions/121.html
https://cwe.mitre.org/data/definitions/122.html
https://cwe.mitre.org/data/definitions/125.html
https://cwe.mitre.org/data/definitions/353.html
https://cwe.mitre.org/data/definitions/416.html
https://cwe.mitre.org/data/definitions/657.html
https://cwe.mitre.org/data/definitions/787.html
https://cwe.mitre.org/data/definitions/824.html
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html
プラグインの詳細
深刻度: High
ID: 159657
ファイル名: adobe_reader_apsb22-16.nasl
バージョン: 1.8
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2022/4/12
更新日: 2024/2/6
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-28838
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2022-35672
脆弱性情報
CPE: cpe:/a:adobe:acrobat_reader
必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/Adobe Reader
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/4/12
脆弱性公開日: 2022/1/11
参照情報
CVE: CVE-2022-24101, CVE-2022-24102, CVE-2022-24103, CVE-2022-24104, CVE-2022-27785, CVE-2022-27786, CVE-2022-27787, CVE-2022-27788, CVE-2022-27789, CVE-2022-27790, CVE-2022-27791, CVE-2022-27792, CVE-2022-27793, CVE-2022-27794, CVE-2022-27795, CVE-2022-27796, CVE-2022-27797, CVE-2022-27798, CVE-2022-27799, CVE-2022-27800, CVE-2022-27801, CVE-2022-27802, CVE-2022-28230, CVE-2022-28231, CVE-2022-28232, CVE-2022-28233, CVE-2022-28234, CVE-2022-28235, CVE-2022-28236, CVE-2022-28237, CVE-2022-28238, CVE-2022-28239, CVE-2022-28240, CVE-2022-28241, CVE-2022-28242, CVE-2022-28243, CVE-2022-28244, CVE-2022-28245, CVE-2022-28246, CVE-2022-28247, CVE-2022-28248, CVE-2022-28249, CVE-2022-28250, CVE-2022-28251, CVE-2022-28252, CVE-2022-28253, CVE-2022-28254, CVE-2022-28255, CVE-2022-28256, CVE-2022-28257, CVE-2022-28258, CVE-2022-28259, CVE-2022-28260, CVE-2022-28261, CVE-2022-28262, CVE-2022-28263, CVE-2022-28264, CVE-2022-28265, CVE-2022-28266, CVE-2022-28267, CVE-2022-28268, CVE-2022-28269, CVE-2022-28837, CVE-2022-28838, CVE-2022-35672, CVE-2022-44512, CVE-2022-44513, CVE-2022-44514, CVE-2022-44515, CVE-2022-44516, CVE-2022-44517, CVE-2022-44518, CVE-2022-44519, CVE-2022-44520