Référence du bulletin
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-09
|
Date de publication |
Priorité |
---|---|---|
APSB21-09 |
09 février 2021 |
1 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader sous Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes. Une exploitation réussie peut entraîner l’exécution d’un code arbitraire dans le système de l’utilisateur actuel.
Adobe a reçu un rapport indiquant que la vulnérabilité CVE-2021-21017 a effectivement été exploitée lors d’attaques limitées ciblant des utilisateurs Adobe Reader sous Windows.
Versions concernées
Suivi |
Versions concernées |
Plate-forme |
|
Acrobat DC |
Continuous |
2020.013.20074 et versions antérieures |
Windows et macOS |
Acrobat Reader DC |
Continuous |
2020.013.20074 et versions antérieures |
Windows et macOS |
|
|
|
|
Acrobat 2020 |
Classicؘ 2020 |
2020.001.30018 et versions antérieures |
Windows et macOS |
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.001.30018 et versions antérieures |
Windows et macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 et versions antérieures |
Windows et macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 et versions antérieures |
Windows et macOS |
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows et macOS |
1 |
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows et macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classicؘ 2020 |
2020.001.30020 |
Windows et macOS |
1 |
|
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.001.30020 |
Windows et macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows et macOS |
1 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows et macOS |
1 |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Référence CVE |
---|---|---|---|
Dépassement de tampon |
Déni de service d’application |
Importante |
CVE-2021-21046 |
Débordement de mémoire tampon basée sur le tas |
Exécution de code arbitraire |
Critique |
CVE-2021-21017 |
Path Traversal |
Exécution de code arbitraire |
Critique |
CVE-2021-21037 |
Débordement d’entier |
Exécution de code arbitraire |
Critique |
CVE-2021-21036 |
Contrôle d’accès incorrect |
Réaffectation de privilèges |
Critique |
CVE-2021-21045 |
Lecture hors limites |
Réaffectation de privilèges |
Importante |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
Utilisation de zone désallouée |
Divulgation d’informations |
Important |
CVE-2021-21061 |
Écriture hors limites |
Exécution de code arbitraire |
Critique |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
Dépassement de tampon |
Exécution de code arbitraire |
Critique |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
Déréférence de pointeur NULL |
Divulgation d’informations |
Important |
CVE-2021-21057 |
Validation en entrée incorrecte |
Divulgation d’informations |
Important |
CVE-2021-21060 |
Utilisation de zone désallouée |
Exécution de code arbitraire |
Critique |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
Support manquant pour le contrôle d’intégrité |
Contournement des fonctions de sécurité | Importante | CVE-2021-28545 CVE-2021-28546 |
Remerciements
Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients.
- Signalement anonyme (CVE-2021-21017)
- Nipun Gupta, Ashfaq Ansari et Krishnakant Patil - CloudFuzz (CVE-2021-21041)
- Mark Vincent Yason (@MarkYason) contributeur du projet Zero Day Initiative de Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
- Xu Peng de l’UCAS et Wang Yanhao du QiAnXin Technology Research Institute, contributeurs du projet Zero Day Initiative de Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
- AIOFuzzer contributeur du projet Zero Day Initiative de Trend Micro (CVE-2021-21044, CVE-2021-21061, CVE-2021-21088)
- 360CDSRC lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
- Will Dormann du CERT/CC (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- 胖 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
- 360政企安全漏洞研究院 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
- 蚂蚁安全光年实验室基础研究小组 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
- CodeMaster lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- Ken Hsu de Palo Alto Networks (CVE-2021-21058)
- Ken Hsu de Palo Alto Networks, Heige (alias SuperHei) de l’équipe Knwonsec 404 (CVE-2021-21059)
- Ken Hsu, Bo Qu de Palo Alto Networks (CVE-2021-21062)
- Ken Hsu, Zhibin Zhang de Palo Alto Networks (CVE-2021-21063)
- Mateusz Jurczyk du projet Google Project Zero (CVE-2021-21086)
- Simon Rohlmann, Vladislav Mladenov, Christian Mainka et Jörg Schwenk - Chair for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)
Révisions
10 février 2021 : Remerciements actualisés pour CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.
10 mars 2021 : Mise à jour des remerciements concernant CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021
17 mars 2021 : Ajout d’informations concernant CVE-2021-21086, CVE-2021-21088 et CVE-2021-21089.
26 mars 2021 : ajout d’informations pour CVE-2021-28545 et CVE-2021-28546.
29 septembre 2021 : ajout d’informations pour CVE-2021-40723.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?