Adobe 安全公告

适用于 Adobe Acrobat 和 Reader 的安全更新 | APSB21-55

公告 ID

发布日期

优先级

APSB21-55

2021 年 9 月 14 日

2

摘要

Adobe 针对用于 Windows 和 macOS 中的 Adobe Acrobat 和 Reader 发布了安全更新。这些更新解决了多个关键重要中等漏洞。成功利用这些漏洞可能会导致在当前用户的上下文中出现任意代码执行。

 

受影响的版本

产品

追踪

受影响的版本

平台

Acrobat DC 

Continuous 

2021.005.20060 及更早版本          

Windows

Acrobat Reader DC

Continuous

2021.005.20060 及更早版本          

Windows

Acrobat DC 

Continuous 

2021.005.20058 及更早版本          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 及更早版本          

macOS

 

Acrobat 2020

Classic 2020           

2020.004.30006 及更早版本

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 及更早版本

Windows 和 macOS

Acrobat 2017

Classic 2017

2017.011.30199  及更早版本          

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  及更早版本          

Windows 和 macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • 有关安装程序的链接,请参阅特定的发行说明版本。     

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品

追踪

更新后的版本

平台

优先级

获取途径

Acrobat DC

Continuous

2021.007.20091 

Windows 和 macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows 和 macOS

2

发行说明     

Acrobat 2020

Classic 2020           

2020.004.30015

Windows 和 macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows 和 macOS     

2

Acrobat 2017

Classic 2017

2017.011.30202

Windows 和 macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows 和 macOS

2

漏洞详情

漏洞类别 漏洞影响 严重性 CVSS 基础评分 
CVSS 向量
CVE 编号

类型混淆 (CWE-843)

任意代码执行

关键 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

基于堆的缓冲区溢出

(CWE-122)

任意代码执行

关键  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

信息披露

(CWE-200)

任意文件系统读取

中等

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

越界读取

(CWE-125)

内存泄露

关键   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

越界读取

(CWE-125)

内存泄露

重要

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

越界读取

(CWE-125)

任意文件系统读取

中等

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

越界写入

(CWE-787)

内存泄露

关键 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

基于堆栈的缓冲区溢出 

(CWE-121)

任意代码执行

关键   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

不受控制的搜索路径元素

(CWE-427)

任意代码执行

重要 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

释放后使用

(CWE-416)

任意代码执行

重要

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

释放后使用

(CWE-416)

任意代码执行

关键 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

空指针取消引用 (CWE-476)

内存泄露

重要

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

空指针取消引用 (CWE-476)

应用程序拒绝服务

重要

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

空指针取消引用 (CWE-476)

应用程序拒绝服务

重要

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

空指针取消引用 (CWE-476)

应用程序拒绝服务

重要

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

释放后使用

(CWE-416)

任意代码执行
关键   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

释放后使用

(CWE-416)

任意代码执行
关键   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

鸣谢

Adobe 衷心感谢以下个人报告相关问题并与 Adobe 一起保护我们的客户:

  • 参与趋势科技“零日计划”(Zero Day Initiative)的 Mark Vincent Yason (@MarkYason) (CVE-2021-39841、CVE-2021-39836、CVE-2021-39837、CVE-2021-39838、CVE-2021-39839、CVE-2021-39840、CVE-2021-40725、CVE-2021-40726)
  • Haboob 实验室(CVE-2021-39859、CVE-2021-39860、CVE-2021-39861、CVE-2021-39843、CVE-2021-39844、CVE-2021-39845、CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • 来自中国科学院大学的 XuPeng 和来自奇安信技术研究院的 Ying Lingyun(CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850、CVE-2021-39849)
  • j00sean(CVE-2021-39857、CVE-2021-39856、CVE-2021-39855、CVE-2021-39842)
  • Exodusintel.com)和Andrei Stefan(CVE-2021-39863)
  • 来自百度安全实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Qiao Li (CVE-2021-39858)

修订

2021 年 9 月 20 日:更新了 CVE-2021-35982 的鸣谢详细信息。

2021 年 9 月 28 日:更新了 CVE-2021-39863 的鸣谢详细信息。

2021 年 10 月 5 日:更新了 CVE-2021-39852、CVE-2021-39851、CVE-2021-39863、CVE-2021-39860、CVE-2021-39861 的 CVSS 基础评分、CVSS 矢量和严重程度。 添加了 CVE-2021-40725 和 CVE-2021-40726 的数据和鸣谢部分。

2022 年 1 月 18 日:更新了 CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850、CVE-2021-39849 的鸣谢详细信息



 


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上