公告 ID
上次更新日期:
2021年11月1日
适用于 Adobe Acrobat 和 Reader 的安全更新 | APSB21-09
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB21-09 |
2021 年 2 月 9 日 |
1 |
摘要
受影响的版本
|
追踪 |
受影响的版本 |
平台 |
|
|
Acrobat DC |
Continuous |
2020.013.20074 及更早版本 |
Windows 和 macOS |
|
Acrobat Reader DC |
Continuous |
2020.013.20074 及更早版本 |
Windows 和 macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 及更早版本 |
Windows 和 macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 及更早版本 |
Windows 和 macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 及更早版本 |
Windows 和 macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 及更早版本 |
Windows 和 macOS |
解决方案
Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下两种方式之一,获取产品的最新版本:
用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
产品将在检测到更新时自动更新,无需用户干预。
完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。
对于 IT 管理员(托管环境):
有关安装程序的链接,请参阅特定的发行说明版本。
通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。
Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:
|
追踪 |
更新后的版本 |
平台 |
优先级 |
获取途径 |
|
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows 和 macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows 和 macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows 和 macOS |
1 |
漏洞详情
| 漏洞类别 | 漏洞影响 | 严重性 | CVE 编号 |
|---|---|---|---|
| 缓冲区溢出 |
应用程序拒绝服务 |
重要 |
CVE-2021-21046 |
| 基于堆的缓冲区溢出 |
任意代码执行 |
关键 |
CVE-2021-21017 |
| 路径遍历 |
任意代码执行 |
关键 |
CVE-2021-21037 |
| 整数溢出 |
任意代码执行 |
关键 |
CVE-2021-21036 |
| 访问控制不当 |
权限升级 |
关键 |
CVE-2021-21045 |
| 越界读取 |
权限升级 |
重要 |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
| 释放后重用 |
信息泄露 |
重要 |
CVE-2021-21061 |
| 越界写入 |
任意代码执行 |
关键 |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
| 缓冲区溢出 |
任意代码执行 |
关键 |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
| 空指针解引用 |
信息泄露 |
重要 |
CVE-2021-21057 |
| 不当的输入验证 |
信息泄露 |
重要 |
CVE-2021-21060 |
| 释放后使用 |
任意代码执行 |
关键 |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
| 缺少对完整性检查的支持 |
安全功能旁路 | 重要 | CVE-2021-28545 CVE-2021-28546 |
鸣谢
Adobe 在此衷心感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户。
- 匿名报告 (CVE-2021-21017)
- Nipun Gupta、Ashfaq Ansari 和 Krishnakant Patil - CloudFuzz (CVE-2021-21041)
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 Mark Vincent Yason(@MarkYason)(CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
- 来自 UCAS 的 Xu Peng 和来自奇安信技术研究院并参与趋势科技“零日计划”(Zero Day Initiative) 的 Wang Yanhao(CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 AIOFuzzer(CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
- “天府杯”2020 国际网络安全大赛中的 360CDSRC (CVE-2021-21037)
- CERT/CC 的 Will Dormann (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- “天府杯”2020 国际网络安全大赛中的胖 (CVE-2021-21040)
- “天府杯”2020 国际网络安全大赛中的 360 政企安全漏洞研究院 (CVE-2021-21039)
- “天府杯”2020 国际网络安全大赛中的蚂蚁安全光年实验室基础研究小组 (CVE-2021-21038)
- “天府杯”2020 国际网络安全大赛中的 CodeMaster (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- 来自派拓网络的 Ken Hsu (CVE-2021-21058)
- 来自派拓网络的 Ken Hsu、来自 Knwonsec 404 Team 的 Heige(又名 SuperHei)(CVE-2021-21059)
- 来自派拓网络的 Ken Hsu、Bo Qu (CVE-2021-21062)
- 来自派拓网络的 Ken Hsu、Zhibin Zhang (CVE-2021-21063)
- 来自 Google 互联网安全项目团队“Project Zero”的 Mateusz Jurczyk (CVE-2021-21086)
- Simon Rohlmann、Vladislav Mladenov、Christian Mainka 和波鸿鲁尔大学的网络和数据安全主席 Jörg Schwenk(CVE-2021-28545、CVE-2021-28546)
修订
2021 年 2 月 10 日:更新了 CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 的鸣谢部分。
2021 年 3 月 10 日:更新了 CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 的鸣谢部分
2021 年 3 月 17 日:添加了有关 CVE-2021-21086、CVE-2021-21088 和 CVE-2021-21089 的详细信息。
2021 年 3 月 26 日:添加了有关 CVE-2021-28545 和 CVE-2021-28546 的详细信息。
2021 年 9 月 29 日:添加了有关 CVE-2021-40723 的详细信息
