公告 ID
上次更新日期:
2021年11月1日
适用于 Adobe InDesign 的安全更新| APSB21-73
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB21-73 |
2021 年 9 月 14 日 |
3 |
摘要
Adobe 已发布了 Adobe InDesign 的安全更新。 此更新解决了多个 关键漏洞。成功利用这些漏洞可能会导致在当前用户的上下文中出现任意代码执行。
受影响的版本
|
产品 |
受影响的版本 |
平台 |
|
Adobe InDesign |
16.3.2 及更早版本 |
macOS |
|
Adobe InDesign |
16.3 及更早版本 |
Windows |
解决方案
|
产品 |
更新后的版本 |
平台 |
优先级 |
获取途径 |
|
Adobe InDesign |
16.4 |
Windows 和 macOS |
3 |
|
|
Adobe InDesign |
15.1.4 |
Windows 和 macOS |
3 |
|
对于托管环境,IT 管理员可以使用 Creative Cloud Packager 创建部署包。有关详细信息,请参阅此帮助页面。
漏洞详情
|
漏洞类别 |
漏洞影响 |
严重性 |
CVSS 基础评分 |
CVE 编号 |
|
|---|---|---|---|---|---|
|
缓冲结束后访问内存位置 (CWE-788) |
任意代码执行 |
关键 |
8.8 |
CVSS3.1:/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39820 |
|
越界读取 (CWE-125) |
任意代码执行 |
关键 |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39821 CVE-2021-39822 |
|
缓冲结束后访问内存位置 (CWE-788) |
任意代码执行 |
关键 |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40727 |
鸣谢
Adobe 衷心感谢以下研究人员报告这些问题并与 Adobe 一起保护我们的客户:
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 Francis Provencher{PRL}(CVE-2021-39821、CVE-2021-39822)
- 来自 Topsec Alpha 团队的 CQY (yjdfy)(CVE-2021-39820、CVE-2021-40727)
修订
2021 年 7 月 14 日:将 CVE-2021-21043 替换为 CVE-2021-36004
2021 年 7 月 28 日:更新了“受影响的版本和解决方案”表。
2021 年 9 月 29 日:在解决方案部分下添加了 N-1 版本详细信息。
2021 年 9 月 30 日:添加了有关 CVE-2021-40727 的详细信息。
2021 年 10 月 4 日:删除了版本 15.1.4 的发行说明链接。
