Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB21-55

ID bollettino

Data di pubblicazione

Priorità

APSB21-55

14 settembre 2021

2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche, importanti e moderate. Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.  

 

Versioni interessate

Prodotto

Track

Versioni interessate

Piattaforma

Acrobat DC 

Continuous 

2021.005.20060 e versioni precedenti          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 e versioni precedenti          

Windows

Acrobat DC 

Continuous 

2021.005.20058 e versioni precedenti          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 e versioni precedenti          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 e versioni precedenti

Windows e macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 e versioni precedenti

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  e versioni precedenti          

Windows e macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  e versioni precedenti          

Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.     

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto

Track

Versioni aggiornate

Piattaforma

Livello di priorità

Disponibilità

Acrobat DC

Continuous

2021.007.20091 

Windows e macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows e macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows e macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows e macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows e macOS

2

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Punteggio base CVSS 
Vettore CVSS
Codice CVE

Confusione di tipo (CWE-843)

Esecuzione di codice arbitrario

Critica 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Sovraccarico del buffer basato su heap

(CWE-122)

Esecuzione di codice arbitrario

Critica  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Esposizione delle informazioni

(CWE-200)

Lettura di file system arbitraria

Moderata

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Lettura fuori limite

(CWE-125)

Perdita di memoria

Critica   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Lettura fuori limite

(CWE-125)

Perdita di memoria

Importante

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Lettura fuori limite

(CWE-125)

Lettura di file system arbitraria

Moderata

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Scrittura fuori limite

(CWE-787)

Perdita di memoria

Critica 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Overflow del buffer basato su stack 

(CWE-121)

Esecuzione di codice arbitrario

Critica   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Elemento percorso di ricerca non controllato

(CWE-427)

Esecuzione di codice arbitrario

Importante 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario

Importante

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario

Critica 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Riferimento puntatore NULL (CWE-476)

Perdita di memoria

Importante

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Riferimento puntatore NULL (CWE-476)

Rifiuto di utilizzo dell'applicazione

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Riferimento puntatore NULL (CWE-476)

Rifiuto di utilizzo dell'applicazione

Importante

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Riferimento puntatore NULL (CWE-476)

Rifiuto di utilizzo dell'applicazione

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario
Critica   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario
Critica   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Ringraziamenti

Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti:   

  • Mark Vincent Yason (@MarkYason) in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng da UCAS e Ying Lingyun da QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) e Andrei Stefan (CVE-2021-39863)
  • Qiao Li del Baidu Security Lab in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-39858)

Revisioni

20 settembre 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-35982.

28 settembre 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-39863.

5 ottobre 2021: Punteggio base CVSS aggiornato, vettore CVSS e gravità per CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Sono stati aggiunti dati e ringraziamenti per CVE-2021-40725 e CVE-2021-40726.

18 gennaio 2022: Sono stati aggiornati i dettagli del ringraziamento per CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online