Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-55

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-55

14. September 2021

2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben mehrere kritischewichtige und moderate Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.  

 

Betroffene Versionen

Produkt

Überwachen

Betroffene Versionen

Plattform

Acrobat DC 

Continuous 

2021.005.20060 und frühere Versionen          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 und frühere Versionen          

Windows

Acrobat DC 

Continuous 

2021.005.20058 und frühere Versionen          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 und frühere Versionen          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 und frühere Versionen

Windows und macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 und frühere Versionen

Windows und macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 und frühere Versionen          

Windows und macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199 und frühere Versionen          

Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt

Überwachen

Aktualisierte Versionen

Plattform

Priorität

Verfügbarkeit

Acrobat DC

Continuous

2021.007.20091 

Windows und macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows und macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows und macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows und macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows und macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows und macOS

2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVSS-Basispunktzahl 
CVSS-Vektor
CVE-Nummer

Typverwirrung (CWE-843)

Willkürliche Ausführung von Code

Kritisch 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Heap-basierter Pufferüberlauf

(CWE-122)

Willkürliche Ausführung von Code

Kritisch  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Offenlegung von Informationen

(CWE-200)

Willkürlicher Dateisystem-Lesezugriff

Mittel

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Lesevorgang außerhalb des gültigen Bereichs

(CWE-125)

Speicherverlust

Kritisch   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Lesevorgang außerhalb des gültigen Bereichs

(CWE-125)

Speicherverlust

Wichtig

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Lesevorgang außerhalb des gültigen Bereichs

(CWE-125)

Willkürlicher Dateisystem-Lesezugriff

Mittel

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Schreibvorgang außerhalb des gültigen Bereichs

(CWE-787)

Speicherverlust

Kritisch 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Stapelbasierter Pufferüberlauf 

(CWE-121)

Willkürliche Ausführung von Code

Kritisch   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Unkontrolliertes Suchpfadelement

(CWE-427)

Willkürliche Ausführung von Code

Wichtig 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Use After Free

(CWE-416)

Willkürliche Ausführung von Code

Wichtig

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Use After Free

(CWE-416)

Willkürliche Ausführung von Code

Kritisch 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

NULL-Zeigerabweichung (CWE-476)

Speicherverlust

Wichtig

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

NULL-Zeigerabweichung (CWE-476)

Denial-of-Service-Angriff auf Anwendungsebene

Wichtig  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

NULL-Zeigerabweichung (CWE-476)

Denial-of-Service-Angriff auf Anwendungsebene

Wichtig

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

NULL-Zeigerabweichung (CWE-476)

Denial-of-Service-Angriff auf Anwendungsebene

Wichtig  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Use After Free

(CWE-416)

Willkürliche Ausführung von Code
Kritisch   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Use After Free

(CWE-416)

Willkürliche Ausführung von Code
Kritisch   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Mark Vincent Yason (@MarkYason) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng von UCAS und Ying Lingyun von QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) und Andrei Stefan (CVE-2021-39863)
  • Qiao Li vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-39858)

Überarbeitungen

20. September 2021: Details zur Bestätigung für CVE-2021-35982 aktualisiert.

28. September 2021: Details zur Bestätigung für CVE-2021-39863 aktualisiert.

5. Oktober 2021: Aktualisierte CVSS-Basis-Score, CVSS-Vektor, und Schweregrad für CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Es wurden Daten und Bestätigungen für CVE-2021-40725 und CVE-2021-40726 hinzugefügt.

18. Januar 2022: Aktualisierte Anerkennungsdetails für CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?