リモートの macOS ホストにインストールされている Adobe Acrobat のバージョンは、20.005.30514.10514 または 23.003.20269 より前です。したがって、複数の脆弱性の影響を受けます。

  - Adobe Acrobat Reader バージョン 23.003.20244 (以前)、20.005.30467 (以前) は、初期化されていないポインターへのアクセスの脆弱性の影響を受け、現在のユーザーのコンテキストで任意コード実行に至る可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。(CVE-2023-38226、CVE-2023-38234、CVE-2023-38246)

  - Adobe Acrobat Reader バージョン 23.003.20244 (以前)、20.005.30467 (以前) は、セキュア設計原則違反の脆弱性の影響を受けます。このため、API ブラックリスト機能をバイパスすることで現在のユーザーのコンテキストで任意のコードが実行される可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。(CVE-2023-29320)

  - Adobe Acrobat Reader バージョン 23.003.20244 (以前)、20.005.30467 (以前) は、信頼できない検索パスの脆弱性の影響を受け、アプリケーションのサービス拒否が発生する可能性があります。攻撃者がこの脆弱性を悪用し、デフォルトの PowerShell Set-ExecutionPolicy が Unrestricted に設定されており、攻撃の複雑度が高い場合に、この脆弱性を悪用する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。(CVE-2023-29299)

  - Adobe Acrobat Reader バージョン 23.003.20244(以前) および 20.005.30467(以前) は、メモリ解放後使用 (Use-After-Free) の脆弱性の影響を受け、秘密メモリーの漏洩を引き起こす可能性があります。攻撃者がこの脆弱性を利用し、ASLR のような緩和策をバイパスする可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。(CVE-2023-29303)

  - Acrobat Reader DC バージョン 23.003.20244 (以前)、20.005.30467 (以前) は、メモリ解放後使用 (Use After Free) の脆弱性の影響を受け、現在のユーザーのコンテキストで任意コード実行に至る可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪質なファイルを開く必要があります。
    (CVE-2023-38222、CVE-2023-38224、CVE-2023-38225、CVE-2023-38227、CVE-2023-38228)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Adobe Acrobat < 20.005.30514.10514 / 23.003.20269 複数の脆弱性 (APSB23-30) (macOS)

high Nessus プラグイン ID 179485

バージョン 1.8

バージョン 1.7

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.3

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.8 Nov 21, 2024, 2:36 PM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Plugin metadata Plugin Feed: 202411211436
バージョン 1.7 Oct 4, 2024, 11:06 PM New Plugin Feed: 202410042306
バージョン 1.6 Sep 12, 2024, 8:57 PM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Detection (updated detection logic) Plugin metadata Plugin Feed: 202409122057
バージョン 1.5 Jun 24, 2024, 9:09 AM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Exploit attributes ("Exploited by malware" set to "True") Plugin Feed: 202406240909
バージョン 1.4 Oct 16, 2023, 7:25 PM Plugin categorization Plugin Feed: 202310161925
バージョン 1.3 Sep 15, 2023, 10:10 AM IAVM reference Plugin Feed: 202309151010
バージョン 1.3 Oct 16, 2023, 5:15 PM Plugin categorization Plugin Feed: 202310161715
バージョン 1.2 Aug 14, 2023, 2:03 PM CVSS metrics ("CVSSv2 score" changed from 7.5 to 7.2. "CVSSv3 score" changed from 9.8 to 7.8. "CVSSv2 vector" changed from "CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P" to "CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C". "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H") CVSSv3 score source (set to "CVE-2023-38246") Plugin Feed: 202308141403
バージョン 1.1 Aug 11, 2023, 12:07 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202308111207
バージョン 1.0 Aug 9, 2023, 12:14 AM New Plugin Feed: 202308090014