ID do boletim
Última atualização em
13 de fev de 2023
Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB22-01
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB22-01 |
11 de janeiro de 2022 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem múltiplas vulnerabilidades críticas, importantes e moderadas. Uma exploração bem-sucedida poderia levar à execução do código arbitrária, vazamento de memória, negação de serviço da aplicação, desvio do recurso de segurança e escalonamento de privilégios.
Versões afetadas
|
Track |
Versões afetadas |
Plataforma |
|
|
Acrobat DC |
Continuous |
21.007.20099 e versões anteriores |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 e versões anteriores |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 e versões anteriores |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 e versões anteriores |
Windows e macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 e versões anteriores |
Windows e macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 e versões anteriores |
Windows e macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 e versões anteriores |
Windows e macOS |
Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC.
Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
Consulte a versão específica da nota de versão para links para instaladores.
Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:
|
Track |
Versões atualizadas |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows e macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows e macOS |
2 |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS | Vetor CVSS | Número CVE |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Exposição de Informações (CWE-200) |
Escalonamento de privilégio | Moderado | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Transbordamento de dados baseado em pilha (CWE-121) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Acesso ao Ponteiro não-inicializado (CWE-824) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Escrita fora dos limites (CWE-787) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Estouro de buffer baseado em heap (CWE-122) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Estouro de buffer baseado em heap (CWE-122) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Estouro ou wraparound de inteiro(CWE-190) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Validação de entrada inadequada (CWE-20) | Negação de serviço de aplicativo | Importante | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Usar após período gratuito (CWE-416) | Negação de serviço de aplicativo | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Violação de princípios de design seguro (CWE-657) | Falha de recurso de segurança | Moderado | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Out-of-bounds Read (CWE-125) | Falha de memória | Moderado | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Exposição de informações (CWE-200) |
Escalonamento de privilégio |
Moderado | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| Desreferência de ponteiro NULA (CWE-476) | Negação de serviço de aplicativo | Moderado | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| Desreferência de ponteiro NULA (CWE-476) | Negação de serviço de aplicativo | Moderado | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Out-of-bounds Read (CWE-125) | Falha de memória | Moderado | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Out-of-bounds Read (CWE-125) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Escrita fora dos limites (CWE-787) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Usar após período gratuito (CWE-416) | Escalonamento de privilégio | Moderado | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Usar após período gratuito (CWE-416) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Acesso ao local da memória após o fim do buffer (CWE-788) | Falha de memória | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Escrita fora dos limites (CWE-787) | Execução de código arbitrária | Crítico | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Ashfaq Ansari e Krishnakant Patil - HackSys Inc. - HackSys Inc que trabalha com a Zero Day Initiative da Trend Micro (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu do Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU via TianfuCup (CVE-2021-44704)
- StakLeader via TianfuCup (CVE-2021-44705)
- bee13oy do Kunlun Lab via TianfuCup (CVE-2021-44706)
- Instituto de Pesquisa de Vulnerabilidade Juvenil Via TianfuCup (CVE-2021-44707)
- Jaewon Min e Aleksandar Nikolic de Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) e Steven Seeley do Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain of Baidu Security (fr0zenrain) (CVE-2021-44742)
- Anônimo que trabalha com a Zero Day Initiative da Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Revisões:
12 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-44706
13 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-45064, detalhes atualizados para CVE-2021-44702 e CVE-2021-44739
17 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-44706
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
