Adobe 安全公告

适用于 Adobe Acrobat 和 Reader 的安全更新  | APSB22-01

公告 ID

发布日期

优先级

APSB22-01

2022 年 1 月 11 日

2

摘要

Adobe 针对用于 Windows 和 macOS 中的 Adobe Acrobat 和 Reader 发布了安全更新。这些更新解决了多个关键重要中等漏洞。  成功利用这些漏洞可能导致任意代码执行、内存泄漏、应用程序拒绝服务、安全功能旁路和权限提升。   

受影响的版本

产品

追踪

受影响的版本

平台

Acrobat DC 

Continuous 

21.007.20099 及更早版本

Windows

Acrobat Reader DC

Continuous


21.007.20099 及更早版本
 

Windows

Acrobat DC 

Continuous 

21.007.20099 及更早版本
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 及更早版本
     

macOS

 

Acrobat 2020

Classic 2020           

20.004.30017 及更早版本  

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 及更早版本 

Windows 和 macOS

Acrobat 2017

Classic 2017

17.011.30204 及更早版本            

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

17.011.30204 及更早版本          
  

Windows 和 macOS

有关 Acrobat DC 的问题,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的问题,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。    

终端用户可通过以下两种方式之一,获取产品的最新版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。

  • 产品将在检测到更新时自动更新,无需用户干预。 

  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。   

对于 IT 管理员(托管环境):

  • 有关安装程序的链接,请参阅特定的发行说明版本。     

  • 通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或者 Apple 远程桌面和 SSH (macOS)。 

   

Adobe 按照以下 优先级 将这些更新分类,并建议用户将其安装的软件更新至最新版本:   

产品

追踪

更新后的版本

平台

优先级

获取途径

Acrobat DC

Continuous

21.011.20039

Windows 和 macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows 和 macOS

2

发行说明     

Acrobat 2020

Classic 2020           

20.004.30020

Windows 和 macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows 和 macOS     

2

Acrobat 2017

Classic 2017

17.011.30207

Windows 和 macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows 和 macOS

2

漏洞详情

漏洞类别 漏洞影响 严重性 CVSS 基础评分 CVSS 向量 CVE 编号
释放后使用 (CWE-416) 任意代码执行  关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
信息披露 (CWE-200)
权限升级 中等 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
基于堆栈的缓冲区溢出 (CWE-121) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
释放后使用 (CWE-416) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
访问未初始化的指针 (CWE-824) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
释放后使用 (CWE-416) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
越界写入 (CWE-787) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
基于堆的缓冲区溢出 (CWE-122) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
基于堆的缓冲区溢出 (CWE-122) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
释放后使用 (CWE-416) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
整数溢出或环绕 (CWE-190) 任意代码执行 关键 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
不当的输入验证 (CWE-20) 应用程序拒绝服务 重要 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
释放后使用 (CWE-416) 应用程序拒绝服务 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
违反安全设计原则 (CWE-657) 安全功能旁路 中等 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
越界读取 (CWE-125) 内存泄露 中等 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
信息披露 (CWE-200)
权限升级
中等 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
空指针取消引用 (CWE-476) 应用程序拒绝服务 中等 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
空指针取消引用 (CWE-476) 应用程序拒绝服务 中等 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
越界读取 (CWE-125) 内存泄露 中等 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
越界读取 (CWE-125) 任意代码执行 关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
越界写入 (CWE-787) 任意代码执行 关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
释放后使用 (CWE-416) 任意代码执行 关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
释放后使用 (CWE-416) 权限升级 中等 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
释放后使用 (CWE-416) 任意代码执行 关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
缓冲结束后访问内存位置 (CWE-788) 内存泄露 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
越界写入 (CWE-787) 任意代码执行 关键 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

鸣谢

Adobe 衷心感谢以下个人报告这些问题并与 Adobe 一起保护我们的客户:

  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Ashfaq Ansari 和 Krishnakant Patil (HackSys) (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu of Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU (CVE-2021-44704) - 通过“天府杯”报告
  • StakLeader (CVE-2021-44705) - 通过“天府杯”报告
  • 昆仑实验室 - 通过“天府杯”报告 bee13oy 漏洞 (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile (CVE-2021-44707) - 通过“天府杯”报告
  • 思科 Talos 团队的 Jaewon Min 和 Aleksandar Nikolic(CVE-2021-44710、CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • 奇虎 360 的 Rocco Calvi (TecR0c) 和 Steven Seeley(CVE-2021-44713、CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • 来自百度安全的 fr0zenrain (fr0zenrain) (CVE-2021-44742)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的匿名人士(CVE-2021-45060、CVE-2021-45061、CVE-2021-45062、CVE-2021-45063、CVE-2021-45068、CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

修订:

2022 年 1 月 12 日:更新了 CVE-2021-44706 的鸣谢部分

2022 年 1 月 13 日:更新了 CVE-2021-45064 的鸣谢信息,并更新了 CVE-2021-44702 和 CVE-2021-44739 的 CVE 详细信息

2022 年 1 月 17 日:更新了 CVE-2021-44706 的鸣谢部分

 


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上