Bulletin-id
Beveiligingsupdate beschikbaar voor Adobe Acrobat en Reader | APSB21-55
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB21-55 |
14 september 2021 |
2 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Acrobat en Reader voor Windows en MacOS. Deze updates verhelpen meerdere kritieke, belangrijke en matige kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige code-uitvoering binnen de context van de huidige gebruiker.
Van toepassing op de volgende versies
Track-abonnement |
Van toepassing op de volgende versies |
Platform |
|
Acrobat DC |
Continu |
2021.005.20060 en eerdere versies |
Windows |
Acrobat Reader DC |
Continuous |
2021.005.20060 en eerdere versies |
Windows |
Acrobat DC |
Continu |
2021.005.20058 en eerdere versies |
macOS |
Acrobat Reader DC |
Continu |
2021.005.20058 en eerdere versies |
macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 en eerdere versies |
Windows & macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 en eerdere versies |
Windows & macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 en eerdere versies |
Windows & macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 en eerdere versies |
Windows & macOS |
Oplossing
Adobe raadt gebruikers aan om hun software bij te werken naar de nieuwste versies door de onderstaande instructies te volgen.
De nieuwste productversies zijn beschikbaar voor eindgebruikers via een van de volgende methoden:
Gebruikers kunnen hun productinstallaties handmatig bijwerken door Help > Controleren op updates te kiezen.
De producten worden automatisch bijgewerkt, zonder tussenkomst van de gebruiker, wanneer updates worden gedetecteerd.
Het volledige Acrobat Reader-installatieprogramma kan worden gedownload van het Acrobat Reader Download Center.
Voor IT-beheerders (beheerde omgevingen):
Raadpleeg de specifieke versie van de releaseopmerkingen voor links naar installatieprogramma's.
Installeer updates via uw voorkeursmethode, zoals AIP-GPO, bootstrapper, SCUP/SCCM (Windows) of op Apple Remote Desktop en SSH (macOS).
Adobe heeft aan deze updates de onderstaande prioriteitsbeoordelingen toegekend en raadt gebruikers aan hun installatie bij te werken naar de meest recente versie:
Track-abonnement |
Bijgewerkte versies |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows en macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows en macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows and macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows and macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows en macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows en macOS |
2 |
Details van kwetsbaarheid
Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | CVSS-basisscore |
CVSS-vector |
CVE-nummer |
---|---|---|---|---|---|
Typeverwarring (CWE-843) |
Willekeurige code-uitvoering |
Kritiek |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Heap-gebaseerde bufferoverloop (CWE-122) |
Willekeurige code-uitvoering |
Kritiek |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Blootstelling van informatie (CWE-200) |
Lezen van willekeurige bestandssystemen |
Matig |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Lezen buiten het bereik (CWE-125) |
Geheugenlek |
Kritiek |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Lezen buiten het bereik (CWE-125) |
Geheugenlek |
Belangrijk |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Lezen buiten het bereik (CWE-125) |
Lezen van willekeurige bestandssystemen |
Matig |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Schrijven buiten het bereik (CWE-787) |
Geheugenlek |
Kritiek |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Stack-gebaseerde bufferoverloop (CWE-121) |
Willekeurige code-uitvoering |
Kritiek |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Ongecontroleerd element pad zoekopdracht (CWE-427) |
Willekeurige code-uitvoering |
Belangrijk |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Use-after-free (CWE-416) |
Willekeurige code-uitvoering |
Belangrijk |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Use-after-free (CWE-416) |
Willekeurige code-uitvoering |
Kritiek |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Dereferentie NULL-aanwijzer (CWE-476) |
Geheugenlek |
Belangrijk |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Dereferentie NULL-aanwijzer (CWE-476) |
Application denial-of-service |
Belangrijk |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Dereferentie NULL-aanwijzer (CWE-476) |
Application denial-of-service |
Belangrijk |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Dereferentie NULL-aanwijzer (CWE-476) |
Application denial-of-service |
Belangrijk |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Use-after-free (CWE-416) |
Uitvoering van willekeurige code |
Kritiek |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Use-after-free (CWE-416) |
Uitvoering van willekeurige code |
Kritiek |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om de klanten van Adobe te helpen beschermen:
- Mark Vincent Yason (@MarkYason)in samenwerking met Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng van UCAS en Ying Lingyun van QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) en Andrei Stefan (CVE-2021-39863)
- Qiao Li van het Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2021-39858)
Revisies
20 september 2021: Dankbetuigingen voor CVE-2021-35982 aangepast.
28 september 2021: Dankbetuigingen voor CVE-2021-39863 aangepast.
5 oktober 2021: Bijgewerkte CVSS-basisscore, CVSS-vector en Ernst voor CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Data en dankbetuigingen toegevoegd voor CVE-2021-40725 en CVE-2021-40726.
18 januari 2022: Bijgewerkte dankbetuiging voor for CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.