ID bulletinu
Naposledy aktualizováno
26. 1. 2022
Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB21-55
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB21-55 |
14. září 2021 |
2 |
Shrnutí
Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší vícenásobné kritické, závažné a středně závažné chyby zabezpečení. Úspěšné zneužití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.
Postižené verze
|
Stopa |
Postižené verze |
Platforma |
|
|
Acrobat DC |
Continuous |
2021.005.20060 a starší verze |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 a starší verze |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 a starší verze |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 a starší verze |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 a starší verze |
Windows a MacOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 a starší verze |
Windows a MacOS |
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.
Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
|
Stopa |
Aktualizované verze |
Platforma |
Úroveň priority |
Dostupnost |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows a macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows a macOS |
2 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
|---|---|---|---|---|---|
Zmatek v typech (CWE-843) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Přetečení vyrovnávací paměti na haldě (CWE-122) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Expozice informací (CWE-200) |
Nahodilé čtení souborového systému |
Střední |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Čtení mimo hranice (CWE-125) |
Únik paměti |
Kritická |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Čtení mimo hranice (CWE-125) |
Únik paměti |
Důležitá |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Čtení mimo hranice (CWE-125) |
Nahodilé čtení souborového systému |
Střední |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Zápis mimo hranice (CWE-787) |
Únik paměti |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Přetečení vyrovnávací paměti založené na zásobníku (CWE-121) |
Svévolné spuštění kódu |
Kritická |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Prvek cesty vyhledávání, která není pod kontrolou (CWE-427) |
Svévolné spuštění kódu |
Důležité |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Důležitá |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Dereference nulového ukazatele (CWE-476) |
Únik paměti |
Důležitá |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Dereference nulového ukazatele (CWE-476) |
Útoky DoS na aplikace |
Důležitá |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Dereference nulového ukazatele (CWE-476) |
Útoky DoS na aplikace |
Důležitá |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Dereference nulového ukazatele (CWE-476) |
Útoky DoS na aplikace |
Důležitá |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Použití paměti po uvolnění (CWE-416) |
Svévolné spuštění kódu |
Kritická |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:
- Mark Vincent Yason (@MarkYason) spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng z UCAS a Ying Lingyun z QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) a Andrei Stefan (CVE-2021-39863)
- iao Li z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-39858)
Revize
20. září 2021:: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-35982.
28. září 2021:: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-39863.
5. října 2021: Byly aktualizovány základní skóre CVSS, vektor CVSS a závažnost pro CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Byly přidány údaje a poděkování pro CVE-2021-40725 a CVE-2021-40726.
18. ledna 2022: Byly aktualizovány informace o poděkování za spolupráci při řešení chyby zabezpečení CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
