Beveiligingsadvies van Adobe

Beveiligingsupdate beschikbaar voor Adobe Acrobat en Reader | APSB21-55

Bulletin-id

Publicatiedatum

Prioriteit

APSB21-55

14 september 2021

2

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Acrobat en Reader voor Windows en MacOS. Deze updates verhelpen meerdere kritiekebelangrijke en matige kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige code-uitvoering binnen de context van de huidige gebruiker.  

 

Van toepassing op de volgende versies

Product

Track-abonnement

Van toepassing op de volgende versies

Platform

Acrobat DC 

Continu 

2021.005.20060 en eerdere versies          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 en eerdere versies          

Windows

Acrobat DC 

Continu 

2021.005.20058 en eerdere versies          

macOS

Acrobat Reader DC

Continu 

2021.005.20058 en eerdere versies          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 en eerdere versies

Windows & macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 en eerdere versies

Windows & macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  en eerdere versies          

Windows & macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  en eerdere versies          

Windows & macOS

Oplossing

Adobe raadt gebruikers aan om hun software bij te werken naar de nieuwste versies door de onderstaande instructies te volgen.    

De nieuwste productversies zijn beschikbaar voor eindgebruikers via een van de volgende methoden:    

  • Gebruikers kunnen hun productinstallaties handmatig bijwerken door Help > Controleren op updates te kiezen.     

  • De producten worden automatisch bijgewerkt, zonder tussenkomst van de gebruiker, wanneer updates worden gedetecteerd.      

  • Het volledige Acrobat Reader-installatieprogramma kan worden gedownload van het Acrobat Reader Download Center.   

Voor IT-beheerders (beheerde omgevingen):     

  • Raadpleeg de specifieke versie van de releaseopmerkingen voor links naar installatieprogramma's.

  • Installeer updates via uw voorkeursmethode, zoals AIP-GPO, bootstrapper, SCUP/SCCM (Windows) of op Apple Remote Desktop en SSH (macOS). 

   

Adobe heeft aan deze updates de onderstaande prioriteitsbeoordelingen toegekend en raadt gebruikers aan hun installatie bij te werken naar de meest recente versie:   

Product

Track-abonnement

Bijgewerkte versies

Platform

Prioriteitsbeoordeling

Beschikbaarheid

Acrobat DC

Continuous

2021.007.20091 

Windows en macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows en macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows and macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows and macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows en macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows en macOS

2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst CVSS-basisscore 
CVSS-vector
CVE-nummer

Typeverwarring (CWE-843)

Willekeurige code-uitvoering

Kritiek 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Heap-gebaseerde bufferoverloop

(CWE-122)

Willekeurige code-uitvoering

Kritiek  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Blootstelling van informatie

(CWE-200)

Lezen van willekeurige bestandssystemen

Matig

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Lezen buiten het bereik

(CWE-125)

Geheugenlek

Kritiek   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Lezen buiten het bereik

(CWE-125)

Geheugenlek

Belangrijk

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Lezen buiten het bereik

(CWE-125)

Lezen van willekeurige bestandssystemen

Matig

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Schrijven buiten het bereik

(CWE-787)

Geheugenlek

Kritiek 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Stack-gebaseerde bufferoverloop 

(CWE-121)

Willekeurige code-uitvoering

Kritiek   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Ongecontroleerd element pad zoekopdracht

(CWE-427)

Willekeurige code-uitvoering

Belangrijk 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Use-after-free

(CWE-416)

Willekeurige code-uitvoering

Belangrijk

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Use-after-free

(CWE-416)

Willekeurige code-uitvoering

Kritiek 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Dereferentie NULL-aanwijzer (CWE-476)

Geheugenlek

Belangrijk

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Dereferentie NULL-aanwijzer (CWE-476)

Application denial-of-service

Belangrijk  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Dereferentie NULL-aanwijzer (CWE-476)

Application denial-of-service

Belangrijk

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Dereferentie NULL-aanwijzer (CWE-476)

Application denial-of-service

Belangrijk  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Use-after-free

(CWE-416)

Uitvoering van willekeurige code
Kritiek   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Use-after-free

(CWE-416)

Uitvoering van willekeurige code
Kritiek   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om de klanten van Adobe te helpen beschermen:   

  • Mark Vincent Yason (@MarkYason)in samenwerking met Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng van UCAS en Ying Lingyun van QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) en Andrei Stefan (CVE-2021-39863)
  • Qiao Li van het Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro (CVE-2021-39858)

Revisies

20 september 2021: Dankbetuigingen voor CVE-2021-35982 aangepast.

28 september 2021: Dankbetuigingen voor CVE-2021-39863 aangepast.

5 oktober 2021: Bijgewerkte CVSS-basisscore, CVSS-vector en Ernst voor CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Data en dankbetuigingen toegevoegd voor CVE-2021-40725 en CVE-2021-40726.

18 januari 2022: Bijgewerkte dankbetuiging voor for CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14-16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14-16 oktober Miami Beach en online