Adobe 安全公告

适用于 Adobe Acrobat 和 Reader 的安全更新 | APSB21-09

公告 ID

发布日期

优先级

APSB21-09

2021 年 2 月 9 日

1

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 macOS 版发布了安全更新。这些更新解决了多个关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

Adobe 收到一份报告,称 CVE-2021-21017 被广泛利用来针对 Windows 上的 Adobe Reader 用户实施有限的攻击。

受影响的版本

产品

追踪

受影响的版本

平台

Acrobat DC 

Continuous

2020.013.20074 及更早版本

Windows 和 macOS

Acrobat Reader DC

Continuous

2020.013.20074 及更早版本

Windows 和 macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 及更早版本

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 及更早版本

Windows 和 macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 及更早版本

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 及更早版本

Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • 有关安装程序的链接,请参阅特定的发行说明版本。     

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品

追踪

更新后的版本

平台

优先级

获取途径

Acrobat DC

Continuous

2021.001.20135      

Windows 和 macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows 和 macOS

1

发行说明     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020

Windows 和 macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020

Windows 和 macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190

Windows 和 macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190

Windows 和 macOS

1

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
缓冲区溢出
应用程序拒绝服务
重要
CVE-2021-21046
基于堆的缓冲区溢出
任意代码执行
关键
CVE-2021-21017
路径遍历
任意代码执行
关键
CVE-2021-21037
整数溢出
任意代码执行
关键
CVE-2021-21036
访问控制不当
权限升级
关键
CVE-2021-21045
越界读取
权限升级
重要

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

释放后重用
信息泄露
重要
CVE-2021-21061
越界写入
任意代码执行
关键

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

缓冲区溢出
任意代码执行
关键

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

空指针解引用
信息泄露
重要
CVE-2021-21057
不当的输入验证
信息泄露
重要
CVE-2021-21060
释放后使用
任意代码执行
关键

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

缺少对完整性检查的支持
安全功能旁路 重要

CVE-2021-28545

CVE-2021-28546

鸣谢

Adobe 在此衷心感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户。 

  • 匿名报告 (CVE-2021-21017)
  • Nipun Gupta、Ashfaq Ansari 和 Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Mark Vincent Yason(@MarkYason)(CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
  • 来自 UCAS 的 Xu Peng 和来自奇安信技术研究院并参与趋势科技“零日计划”(Zero Day Initiative) 的 Wang Yanhao(CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 AIOFuzzer(CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
  • “天府杯”2020 国际网络安全大赛中的 360CDSRC (CVE-2021-21037)
  • CERT/CC 的 Will Dormann (CVE-2021-21045)
  • Xuwei Liu (shellway) (CVE-2021-21046)
  • “天府杯”2020 国际网络安全大赛中的胖 (CVE-2021-21040)
  • “天府杯”2020 国际网络安全大赛中的 360 政企安全漏洞研究院 (CVE-2021-21039)
  • “天府杯”2020 国际网络安全大赛中的蚂蚁安全光年实验室基础研究小组 (CVE-2021-21038)
  • “天府杯”2020 国际网络安全大赛中的 CodeMaster (CVE-2021-21036)
  • Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • 来自派拓网络的 Ken Hsu (CVE-2021-21058)
  • 来自派拓网络的 Ken Hsu、来自 Knwonsec 404 Team 的 Heige(又名 SuperHei)(CVE-2021-21059)
  • 来自派拓网络的 Ken Hsu、Bo Qu (CVE-2021-21062)
  • 来自派拓网络的 Ken Hsu、Zhibin Zhang (CVE-2021-21063)
  • 来自 Google 互联网安全项目团队“Project Zero”的 Mateusz Jurczyk (CVE-2021-21086)
  • Simon Rohlmann、Vladislav Mladenov、Christian Mainka 和波鸿鲁尔大学的网络和数据安全主席 Jörg Schwenk(CVE-2021-28545、CVE-2021-28546)

修订

2021 年 2 月 10 日:更新了 CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 的鸣谢部分。

2021 年 3 月 10 日:更新了 CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 的鸣谢部分

2021 年 3 月 17 日:添加了有关 CVE-2021-21086、CVE-2021-21088 和 CVE-2021-21089 的详细信息。

2021 年 3 月 26 日:添加了有关 CVE-2021-28545 和 CVE-2021-28546 的详细信息。

2021 年 9 月 29 日:添加了有关 CVE-2021-40723 的详细信息





 

 

Adobe 徽标

登录到您的帐户