Bulletin-ID
Zuletzt aktualisiert am
26. Jänner 2022
Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-55
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB21-55 |
14. September 2021 |
2 |
Zusammenfassung
Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben mehrere kritische, wichtige und moderate Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.
Betroffene Versionen
|
Überwachen |
Betroffene Versionen |
Plattform |
|
|
Acrobat DC |
Continuous |
2021.005.20060 und frühere Versionen |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 und frühere Versionen |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 und frühere Versionen |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 und frühere Versionen |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 und frühere Versionen |
Windows und macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 und frühere Versionen |
Windows und macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 und frühere Versionen |
Windows und macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 und frühere Versionen |
Windows und macOS |
Lösung
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.
Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
|
Überwachen |
Aktualisierte Versionen |
Plattform |
Priorität |
Verfügbarkeit |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows und macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows und macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows und macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows und macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows und macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows und macOS |
2 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummer |
|---|---|---|---|---|---|
Typverwirrung (CWE-843) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Heap-basierter Pufferüberlauf (CWE-122) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Offenlegung von Informationen (CWE-200) |
Willkürlicher Dateisystem-Lesezugriff |
Mittel |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Lesevorgang außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust |
Kritisch |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Lesevorgang außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust |
Wichtig |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Lesevorgang außerhalb des gültigen Bereichs (CWE-125) |
Willkürlicher Dateisystem-Lesezugriff |
Mittel |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Schreibvorgang außerhalb des gültigen Bereichs (CWE-787) |
Speicherverlust |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Stapelbasierter Pufferüberlauf (CWE-121) |
Willkürliche Ausführung von Code |
Kritisch |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Unkontrolliertes Suchpfadelement (CWE-427) |
Willkürliche Ausführung von Code |
Wichtig |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Wichtig |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
NULL-Zeigerabweichung (CWE-476) |
Speicherverlust |
Wichtig |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
NULL-Zeigerabweichung (CWE-476) |
Denial-of-Service-Angriff auf Anwendungsebene |
Wichtig |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
NULL-Zeigerabweichung (CWE-476) |
Denial-of-Service-Angriff auf Anwendungsebene |
Wichtig |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
NULL-Zeigerabweichung (CWE-476) |
Denial-of-Service-Angriff auf Anwendungsebene |
Wichtig |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Mark Vincent Yason (@MarkYason) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng von UCAS und Ying Lingyun von QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) und Andrei Stefan (CVE-2021-39863)
- Qiao Li vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-39858)
Überarbeitungen
20. September 2021: Details zur Bestätigung für CVE-2021-35982 aktualisiert.
28. September 2021: Details zur Bestätigung für CVE-2021-39863 aktualisiert.
5. Oktober 2021: Aktualisierte CVSS-Basis-Score, CVSS-Vektor, und Schweregrad für CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Es wurden Daten und Bestätigungen für CVE-2021-40725 und CVE-2021-40726 hinzugefügt.
18. Januar 2022: Aktualisierte Anerkennungsdetails für CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
