Adobe Reader < 20.005.30436 / 22.003.20310 複数の脆弱性 (APSB23-01) (macOS)

high Nessus プラグイン ID 169878

概要

リモートの macOS ホストにインストールされている Adobe Reader のバージョンは、複数の脆弱性の影響を受けます。

説明

リモートの macOS ホストにインストールされている Adobe Reader のバージョンは、20.005.30436 または 22.003.20310より前です。したがって、複数の脆弱性の影響を受けます。

- Adobe Acrobat Reader バージョン 22.002.20212(以前) および 20.005.30381(以前) は、メモリ解放後使用 (Use-After-Free) の脆弱性の影響を受け、秘密メモリーの漏洩を引き起こす可能性があります。攻撃者がこの脆弱性を利用し、ASLR のような緩和策をバイパスする可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。(CVE-2022-38437)

- 任意のコード実行を引き起こす可能性がある整数オーバーフローまたはラップアラウンド (CWE-190) (CVE-2023-21579)

- 領域外読み取り (CWE-125) によってメモリ漏洩が発生する可能性があります (CVE-2023-21581、CVE-2023-21585)

- アプリケーションのサービス拒否を引き起こす可能性がある、NULL ポインターデリファレンス (CWE-476) (CVE-2023-21586)

- 任意のコード実行を引き起こす可能性があるスタックベースバッファオーバーフロー (CWE-121) (CVE-2023-21604、CVE-2023-21610)

- 任意のコード実行を引き起こす可能性があるヒープベースバッファオーバーフロー (CWE-122) (CVE-2023-21605)

- 任意のコード実行を引き起こす可能性がある領域外書き込み (CWE-787) (CVE-2023-21606、CVE-2023-21609)

- 任意のコード実行を引き起こす可能性がある不適切な入力検証 (CWE-20) (CVE-2023-21607)

- 任意のコード実行を引き起こす可能性があるメモリ解放後使用 (Use After Free) (CWE-416) (CVE-2023-21608)

- 権限昇格を引き起こす可能性がある安全設計の原則に対する違反 (CWE-657) (CVE-2023-21611、CVE-2023-21612)

- 領域外読み取り (CWE-125) によってメモリ漏洩が発生する可能性があります (CVE-2023-21613、CVE-2023-21614)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Adobe Reader をバージョン 20.005.30436/ 22.003.20310以降にアップグレードしてください。

参考資料

https://helpx.adobe.com/security/products/acrobat/apsb23-01.html

プラグインの詳細

深刻度: High

ID: 169878

ファイル名: macos_adobe_reader_apsb23-01.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2023/1/11

更新日: 2023/10/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.5

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 6.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-22242

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 7.5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:adobe:acrobat_reader

必要な KB アイテム: Host/local_checks_enabled, Host/MacOSX/Version, installed_sw/Adobe Reader

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/1/10

脆弱性公開日: 2023/1/10

CISA の既知の悪用された脆弱性の期限日: 2023/10/31

参照情報

CVE: CVE-2023-21579, CVE-2023-21581, CVE-2023-21585, CVE-2023-21586, CVE-2023-21604, CVE-2023-21605, CVE-2023-21606, CVE-2023-21607, CVE-2023-21608, CVE-2023-21609, CVE-2023-21610, CVE-2023-21611, CVE-2023-21612, CVE-2023-21613, CVE-2023-21614, CVE-2023-22240, CVE-2023-22241, CVE-2023-22242

CWE: 121, 122, 125, 190, 20, 416, 476, 657, 787

IAVA: 2023-A-0019-S