Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB21-55

ID bulletinu

Datum zveřejnění

Priorita

APSB21-55

14. září 2021

2

Shrnutí

Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší vícenásobné kritickézávažné a středně závažné chyby zabezpečení. Úspěšné zneužití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.  

 

Postižené verze

Produkt

Stopa

Postižené verze

Platforma

Acrobat DC 

Continuous 

2021.005.20060 a starší verze          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 a starší verze          

Windows

Acrobat DC 

Continuous 

2021.005.20058 a starší verze          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 a starší verze          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 a starší verze

Windows a MacOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 a starší verze

Windows a MacOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  a starší verze          

Windows a MacOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  a starší verze          

Windows a MacOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.    

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:    

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.     

  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.      

  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.     

Pro správce IT (spravovaná prostředí):     

  • Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.

  • Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.     

   

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:    

Produkt

Stopa

Aktualizované verze

Platforma

Úroveň priority

Dostupnost

Acrobat DC

Continuous

2021.007.20091 

Windows a macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows a macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows a macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows a macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows a macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows a macOS

2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Základní hodnocení CVSS 
Vektor CVSS
Číslo CVE

Zmatek v typech (CWE-843)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Přetečení vyrovnávací paměti na haldě

(CWE-122)

Svévolné spuštění kódu

Kritická  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Expozice informací

(CWE-200)

Nahodilé čtení souborového systému

Střední

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Čtení mimo hranice

(CWE-125)

Únik paměti

Kritická   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Čtení mimo hranice

(CWE-125)

Únik paměti

Důležitá

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Čtení mimo hranice

(CWE-125)

Nahodilé čtení souborového systému

Střední

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Zápis mimo hranice

(CWE-787)

Únik paměti

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Přetečení vyrovnávací paměti založené na zásobníku 

(CWE-121)

Svévolné spuštění kódu

Kritická   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Prvek cesty vyhledávání, která není pod kontrolou

(CWE-427)

Svévolné spuštění kódu

Důležité 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu

Důležitá

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Dereference nulového ukazatele (CWE-476)

Únik paměti

Důležitá

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Dereference nulového ukazatele (CWE-476)

Útoky DoS na aplikace

Důležitá  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Dereference nulového ukazatele (CWE-476)

Útoky DoS na aplikace

Důležitá

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Dereference nulového ukazatele (CWE-476)

Útoky DoS na aplikace

Důležitá  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu
Kritická   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Použití paměti po uvolnění

(CWE-416)

Svévolné spuštění kódu
Kritická   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:   

  • Mark Vincent Yason (@MarkYason) spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng z UCAS a Ying Lingyun z QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) a Andrei Stefan (CVE-2021-39863)
  • iao Li z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-39858)

Revize

20. září 2021:: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-35982.

28. září 2021:: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-39863.

5. října 2021: Byly aktualizovány základní skóre CVSS, vektor CVSS a závažnost pro CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Byly přidány údaje a poděkování pro CVE-2021-40725 a CVE-2021-40726.

18. ledna 2022: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online