Bezpečnostní bulletin společnosti Adobe

Společnost Adobe vydala aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší několik kritických a závažných chyb zabezpečení.Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

Společnost Adobe dostala hlášení, že chyba CVE-2021-21017 byla zneužita k menšímu počtu útoků na uživatele aplikace Adobe Reader v systému Windows.

Postižené verze

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

• Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

• Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

• Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

• Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.

• Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Podrobnosti o chybě zabezpečení

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům. 

• Anonym (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari a Krishnakant Patil – CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) za spolupráci v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng z organizace UCAS a Wang Yanhao z institutu QiAnXin Technology Research Institute spolupracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer za spolupráci v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC na Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
• Will Dormann ze společnosti CERT/CC (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖 na Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
• 360政企安全漏洞研究院 na Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 na Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
• CodeMaster na Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu ze společnosti Palo Alto Networks (CVE-2021-21058)
• Ken Hsu ze společnosti Palo Alto Networks, Heige (známý jako SuperHei) z týmu Knwonsec 404 (CVE-2021-21059)
• Ken Hsu, Bo Qu ze společnosti Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk z týmu Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka a předseda Jörg Schwenk – Network and Data Security, bochumská univerzita Ruhr (CVE-2021-28545, CVE-2021-28546)

Revize

10. února 2021: Aktualizace poděkování ohledně chyb zabezpečení CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10. března 2021: Byla aktualizována poděkování týkající se chyb zabezpečení CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17. března 2021: Byly přidány podrobnosti o chybách zabezpečení CVE-2021-21086, CVE-2021-21088 a CVE-2021-21089.

26. března 2021: Byly přidány podrobnosti o chybách zabezpečení CVE-2021-28545 a CVE-2021-28546.

29. září 2021: Byla přidány podrobnosti o chybě zabezpečení CVE-2021-40723.