Boletim de segurança da Adobe

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações abordam várias vulnerabilidades críticas e importantes. A exploração bem-sucedida pode levar à Execução de código arbitrária no contexto do usuário atual.       

A Adobe recebeu um relatório informando que o CVE-2021-21017 foi explorado em ataques limitados direcionados a usuários do Adobe Reader no Windows.

Versões afetadas

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

• Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

• Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

• O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

• Consulte a versão específica da nota de versão para links para instaladores.     

• Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Detalhes da vulnerabilidade

Agradecimentos

A Adobe gostaria de agradecer aos seguintes por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes. 

• Relatado anonimamente (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari e Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng da UCAS e Wang Yanhao do Instituto de Pesquisas Tecnológicas QiAnXin trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21037)
• Will Dormann do CERT/CC (CVE-2021-21045)
•  Xuwei Liu (Shellway) (CVE-2021-21046)
• 胖 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21040)
• 360政企安全漏洞研究院 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21038)
• CodeMaster na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu da Palo Alto Networks (CVE-2021-21058)
• Ken Hsu da Palo Alto Networks, Heige (também conhecido por SuperHei) da Equipe da Knwonsec 404 (CVE-2021-21059)
• Ken Hsu, Bo Qu da Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang da Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk do Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka e Jörg Schwenk, Presidente em matéria de segurança das redes e dos dados, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisões

10 de fevereiro de 2021: Notificações atualizadas para os CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 de março de 2021: Notificação atualizada para os CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 de março de 2021: Detalhes adicionados para os CVE-2021-21086, CVE-2021-21088 e CVE-2021-21089.

26 de março de 2021: Detalhes adicionados para os CVE-2021-28545 e CVE-2021-28546.

29 de setembro de 2021: detalhes adicionados para CVE-2021-40723