Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB21-51

ID bulletinu

Datum zveřejnění

Priorita

APSB21-51

13. července 2021

2

Shrnutí

Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší několik kritickýchzávažných chyb zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

 

Postižené verze

Produkt

Stopa

Postižené verze

Platforma

Acrobat DC 

Continuous 

2021.005.20054 a starší verze          

Windows a macOS

Acrobat Reader DC

Continuous 

2021.005.20054 a starší verze          

Windows a macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30005 a starší verze

Windows a MacOS

Acrobat Reader 2020

Classic 2020           

2020.004.30005 a starší verze

Windows a MacOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30197 a starší verze          

Windows a MacOS

Acrobat Reader 2017

Classic 2017

2017.011.30197 a starší verze          

Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt

Stopa

Aktualizované verze

Platforma

Úroveň priority

Dostupnost

Acrobat DC

Continuous

2021.005.20058       

Windows a macOS

2

Acrobat Reader DC

Continuous

2021.005.20058  

Windows a macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 

Windows a macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006 

Windows a macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 

Windows a macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows a macOS

2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Základní hodnocení CVSS 
Vektor CVSS
Číslo CVE

Čtení mimo hranice 

(CWE-125)

Únik paměti Důležitá
3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Průchod cestou

(CWE-22)

Svévolné spuštění kódu
Kritická
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu 
Kritická
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Záměna typu

(CWE-843)

Svévolné spuštění kódu 
Kritická
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu 
Kritická
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Zápis mimo hranice

(CWE-787)

Nahodilý zápis do souborového systému
Kritická
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Čtení mimo hranice

(CWE-125)

Únik paměti
Kritická
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Záměna typu

(CWE-843)

Nahodilé čtení souborového systému
Důležitá
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Přetečení vyrovnávací paměti na haldě

(CWE-122)

Svévolné spuštění kódu 
Kritická
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

Přístup přes ukazatel NULL

(CWE-476)

Útoky DoS na aplikace
Důležitá
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Prvek cesty vyhledávání, která není pod kontrolou

(CWE-427)

Svévolné spuštění kódu 
Kritická
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Injektování příkazu v operačním systému

(CWE-78)

Svévolné spuštění kódu 
Kritická
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Použití paměti po uvolnění 

(CWE-416)

Svévolné spuštění kódu 
Kritická
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:   

  • Nipun Gupta, Ashfaq Ansari a Krishnakant Patil – platforma CloudFuzz spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-35983) 
  • Xu Peng z organizace UCAS a Wang Yanhao z institutu QiAnXin Technology Research Institute spolupracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2021-35981 a CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984 a CVE-2021-28637)
  • Anonymní uživatel spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-28643 a CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) z týmu Trend Micro Security Research spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Revize

14. července 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-28640.

15. července 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-35981.

29. července 2021: aktualizace základního hodnocení CVSS a vektoru CVSS pro CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29. července 2021: aktualizace dopadu chyby zabezpečení, závažnost a základní hodnocení a vektoru CVSS pro CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644



 

 


Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

Logo Adobe

Přihlaste se ke svému účtu.