Kriittinen haavoittuvuus Adobe Acrobat ja Reader tuotteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Adobe Acrobat ja Reader tuotteissa

13. lokakuuta 2022 klo 10.58

Adobe Acrobat ja Reader tuotteissa on havaittu kriittinen haavoittuvuus Windows ja macOS käyttöjärjestelmissä. Onnistunut hyväksikäyttö voi johtaa mielivaltaisen koodin suoritukseen.

Puskurin ylivuotovirheeseen liittyvät haavoittuvuudet (CVE-2022-42339 ja CVE-2022-38450) mahdollistavat mielivaltaisen komentojen suorittamisen.

Haavoittuvuus koskee Adobe Acrobat ja Reader tuotteita. Adobe on julkaissut ohjelmistoihin haavoittuvuudet korjaavat päivitykset.

Haavoittuvuuden kohde

TuoteHaavoittuvat versiotKäyttöjärjestelmät
Acrobat DC22.002.20212 ja aikaisemmat versiotWindows & macOS
Acrobat Reader DC22.002.20212 ja aikaisemmat versiotWindows & macOS
Acrobat 202020.005.30381 ja aikaisemmat versiotWindows & macOS
Acrobat Reader 202020.005.30381 ja aikaisemmat versiotWindows & macOS

Mistä on kysymys?

Käyttäjiä suositellaan päivittämään ohjelmistonsa uusimpiin versioihin.

TuotePäivitetty versioKäyttöjärjestelmät
Acrobat DC22.003.20258Windows & macOS
Acrobat Reader DC22.003.20258Windows & macOS
Acrobat 202020.005.30407Windows & macOS
Acrobat Reader 202020.005.30407Windows & macOS

Mitä voin tehdä?

https://helpx.adobe.com/security/products/acrobat/apsb22-46.html (Ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.