Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-51

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-51

13. Juli 2021

2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben mehrere kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.

 

Betroffene Versionen

Produkt

Überwachen

Betroffene Versionen

Plattform

Priority rating                 

Acrobat DC 

Continuous 

2021.005.20054 und frühere Versionen          

Windows und macOS

2

Acrobat Reader DC

Continuous 

2021.005.20054 und frühere Versionen          

Windows und macOS

2

 

 

 

 

2

Acrobat 2020

Classic 2020           

2020.004.30005 und frühere Versionen

Windows und macOS

2

Acrobat Reader 2020

Classic 2020           

2020.004.30005 und frühere Versionen

Windows und macOS

2

 

 

 

 

2

Acrobat 2017

Classic 2017

2017.011.30197 und frühere Versionen          

Windows und macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30197 und frühere Versionen          

Windows und macOS

2

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt

Überwachen

Aktualisierte Versionen

Plattform

Priorität

Verfügbarkeit

Acrobat DC

Continuous

2021.005.20058       

Windows und macOS

2

Acrobat Reader DC

Continuous

2021.005.20058  

Windows und macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 

Windows und macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006 

Windows und macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 

Windows und macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows und macOS

2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVSS-Basispunktzahl 
CVSS-Vektor
CVE-Nummer

Lesevorgang außerhalb des gültigen Bereichs 

(CWE-125

Speicherverlust Wichtig
3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Path Traversal

(CWE-22)

Willkürliche Ausführung von Code
Kritisch
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Use After Free

(CWE-416)

Willkürliche Ausführung von Code 
Kritisch
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Typverwechslung

(CWE-843)

Willkürliche Ausführung von Code 
Kritisch
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Use After Free

(CWE-416)

Willkürliche Ausführung von Code 
Kritisch
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Schreibvorgang außerhalb des gültigen Bereichs

(CWE-787)

Willkürlicher Dateisystem-Schreibzugriff
Kritisch
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Lesevorgang außerhalb des gültigen Bereichs

(CWE-125)

Speicherverlust
Kritisch
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Typverwechslung

(CWE-843)

Willkürlicher Dateisystem-Lesezugriff
Wichtig
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Heap-basierter Pufferüberlauf

(CWE-122)

Willkürliche Ausführung von Code 
Kritisch
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

NULL-Zeigerabweichung

(CWE-476)

Denial-of-Service-Angriff auf Anwendungsebene
Wichtig
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Unkontrolliertes Suchpfadelement

(CWE-427)

Willkürliche Ausführung von Code 
Kritisch
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Einschleusen von BS-Befehlen

(CWE-78)

Willkürliche Ausführung von Code 
Kritisch
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Use After Free 

(CWE-416)

Willkürliche Ausführung von Code 
Kritisch
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Nipun Gupta, Ashfaq Ansari und Krishnakant Patil – CloudFuzz in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-35983) 
  • Xu Peng von UCAS und Wang Yanhao vom QiAnXin Technology Research Institute in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) von Trend Micro Security Research in Zusammenarbeit mit der Trend Micro Zero Day Initiative (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Überarbeitungen

14. Juli 2021: Details zur Bestätigung für CVE-2021-28640 aktualisiert.

15. Juli 2021: Details zur Bestätigung für CVE-2021-35981 aktualisiert.

29. Juli 2021: CVSS-Basiswert und CVSS-Vektor für CVE-2021-28640, CVE-2021-28637, CVE-2021-28636 aktualisiert.
29. Juli 2021: Aktualisierung der Schwachstellenauswirkung, des Schweregrads, des CVSS-Basiswerts und des CVSS-Vektors für CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644



 

 


For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online