ID bollettino
Ultimo aggiornamento il
14 gen 2022
Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB21-51
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB21-51 |
13 luglio 2021 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.
Versioni interessate
|
Track |
Versioni interessate |
Piattaforma |
Priority rating |
|
|
Acrobat DC |
Continuous |
2021.005.20054 e versioni precedenti |
Windows e MacOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 e versioni precedenti |
Windows e MacOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 e versioni precedenti |
Windows e macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 e versioni precedenti |
Windows e macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 e versioni precedenti |
Windows e macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 e versioni precedenti |
Windows e macOS |
2 |
Soluzione
Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.
Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:
Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.
I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.
È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.
Per gli amministratori IT (ambienti gestiti):
Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.
Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
|
Track |
Versioni aggiornate |
Piattaforma |
Livello di priorità |
Disponibilità |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows e macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows e macOS |
2 |
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Punteggio base CVSS |
Vettore CVSS |
Codice CVE |
|---|---|---|---|---|---|
Lettura fuori limite (CWE-125) |
Perdita di memoria | Importante |
3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Path traversal (CWE-22) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Confusione del tipo di oggetto (CWE-843) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Scrittura fuori limite (CWE-787) |
Scrittura di file system arbitraria |
Critica |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Lettura fuori limite (CWE-125) |
Perdita di memoria |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Confusione del tipo di oggetto (CWE-843) |
Lettura di file system arbitraria |
Importante |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Sovraccarico del buffer basato su heap (CWE-122) |
Esecuzione di codice arbitrario |
Critica |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Annullamento puntatore NULL (CWE-476) |
Rifiuto di utilizzo dell'applicazione |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Elemento percorso di ricerca non controllato (CWE-427) |
Esecuzione di codice arbitrario |
Critica |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Iniezione comando SO (CWE-78) |
Esecuzione di codice arbitrario |
Critica |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Ringraziamenti
Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti:
- Nipun Gupta, Ashfaq Ansari e Krishnakant Patil - CloudFuzz in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-35983)
- Xu Peng di UCAS e Wang Yanhao di QiAnXin Technology Research Institute in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-35981, CVE-2021-28638)
- Habooblab (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-20202 1-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Utente anonimo in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) di Trend Micro Security Research in collaborazione con la Trend Micro Zero Day Initiative (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Revisioni
14 luglio 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-28640.
15 luglio 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-35981.
29 luglio 2021: è stato aggiornato il punteggio base CVSS e il vettore CVSS per le vulnerabilità CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 luglio 2021: è stato aggiornato il punteggio base Vulnerability Impact, Severity, CVSS e il vettore CVSS per le vulnerabilità CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
