ID bulletinu
Naposledy aktualizováno
14. 1. 2022
Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB21-51
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB21-51 |
13. července 2021 |
2 |
Shrnutí
Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší několik kritických a závažných chyb zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.
Postižené verze
|
Stopa |
Postižené verze |
Platforma |
|
|
Acrobat DC |
Continuous |
2021.005.20054 a starší verze |
Windows a macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 a starší verze |
Windows a macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 a starší verze |
Windows a MacOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 a starší verze |
Windows a MacOS |
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.
Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
|
Stopa |
Aktualizované verze |
Platforma |
Úroveň priority |
Dostupnost |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows a macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows a macOS |
2 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
|---|---|---|---|---|---|
Čtení mimo hranice (CWE-125) |
Únik paměti | Důležitá |
3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Průchod cestou (CWE-22) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Záměna typu (CWE-843) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Zápis mimo hranice (CWE-787) |
Nahodilý zápis do souborového systému |
Kritická |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Čtení mimo hranice (CWE-125) |
Únik paměti |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Záměna typu (CWE-843) |
Nahodilé čtení souborového systému |
Důležitá |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Přetečení vyrovnávací paměti na haldě (CWE-122) |
Svévolné spuštění kódu |
Kritická |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Přístup přes ukazatel NULL (CWE-476) |
Útoky DoS na aplikace |
Důležitá |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Prvek cesty vyhledávání, která není pod kontrolou (CWE-427) |
Svévolné spuštění kódu |
Kritická |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Injektování příkazu v operačním systému (CWE-78) |
Svévolné spuštění kódu |
Kritická |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:
- Nipun Gupta, Ashfaq Ansari a Krishnakant Patil – platforma CloudFuzz spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-35983)
- Xu Peng z organizace UCAS a Wang Yanhao z institutu QiAnXin Technology Research Institute spolupracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2021-35981 a CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984 a CVE-2021-28637)
- Anonymní uživatel spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-28643 a CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) z týmu Trend Micro Security Research spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Revize
14. července 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-28640.
15. července 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-35981.
29. července 2021: aktualizace základního hodnocení CVSS a vektoru CVSS pro CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29. července 2021: aktualizace dopadu chyby zabezpečení, závažnost a základní hodnocení a vektoru CVSS pro CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
