ID bulletinu
Naposledy aktualizováno
26. 1. 2022
Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB22-01
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB22-01 |
11. ledna 2022 |
2 |
Shrnutí
Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší vícenásobné kritické, závažné a středně závažné chyby zabezpečení. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu, úniku paměti, odepření služeb aplikaci, obejití bezpečnostních funkcí a zvýšení oprávnění.
Postižené verze
|
Stopa |
Postižené verze |
Platforma |
|
|
Acrobat DC |
Continuous |
21.007.20099 a starší verze |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 a starší verze |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 a starší verze |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 a starší verze |
Windows a MacOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 a starší verze |
Windows a MacOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 a starší verze |
Windows a MacOS |
V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC.
V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
Odkazy na instalační programy najdete v konkrétních poznámkách k verzi.
Nainstalujte aktualizace pomocí upřednostňovaného postupu, např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
|
Stopa |
Aktualizované verze |
Platforma |
Úroveň priority |
Dostupnost |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows a macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows a macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows a macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows a macOS |
2 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Základní hodnocení CVSS | Vektor CVSS | Číslo CVE |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Expozice informací (CWE-200) |
Zvyšování oprávnění | Střední | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Přetečení vyrovnávací paměti založené na zásobníku (CWE-121) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Přístup k neinicializovanému ukazateli (CWE-824) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Zápis mimo hranice (CWE-787) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Přetečení vyrovnávací paměti založené na haldě (CWE-122) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Přetečení vyrovnávací paměti založené na haldě (CWE-122) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Přetečení nebo zopakování celého čísla (CWE-190) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Nesprávné ověření vstupu (CWE-20) | Útoky DoS na aplikace | Důležitá | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Použití paměti po uvolnění (CWE-416) | Útoky DoS na aplikace | Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Porušení principů bezpečného designu (CWE-657) | Obcházení bezpečnostních funkcí | Střední | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Neoprávněné načtení (CWE-125) | Únik paměti | Střední | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Expozice informací (CWE-200) |
Zvyšování oprávnění |
Střední | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| Dereference nulového ukazatele (CWE-476) | Útoky DoS na aplikace | Střední | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| Dereference nulového ukazatele (CWE-476) | Útoky DoS na aplikace | Střední | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Neoprávněné načtení (CWE-125) | Únik paměti | Střední | 3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Neoprávněné načtení (CWE-125) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Zápis mimo hranice (CWE-787) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Použití paměti po uvolnění (CWE-416) | Zvyšování oprávnění | Střední | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Použití paměti po uvolnění (CWE-416) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Přístup k místu v paměti na konci vyrovnávací paměti (CWE-788) | Únik paměti | Důležitá | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Zápis mimo hranice (CWE-787) | Svévolné spuštění kódu | Kritická | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Ashfaq Ansari a Krishnakant Patil – HackSys Inc spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu z týmu ThreatLabz ve společnosti Zscaler (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU prostřednictvím TianfuCup (CVE-2021-44704)
- StakLeader prostřednictvím TianfuCup (CVE-2021-44705)
- bee13oy z Kunlun Lab prostřednictvím TianfuCup (CVE-2021-44706)
- Vulnerability Research Institute Juvenile prostřednictvím TianfuCup (CVE-2021-44707)
- Jaewon Min a Aleksandar Nikolic z Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) a Steven Seeley z Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain z Baidu Security (fr0zenrain) (CVE-2021-44742)
- Anonymní uživatel spolupracující v rámci inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Revize:
12. ledna 2022: Aktualizace poděkování pro CVE-2021-44706
13. ledna 2022: Aktualizace poděkování pro CVE-2021-45064, aktualizace podrobností o CVE pro CVE-2021-44702 a CVE-2021-44739
17. ledna 2022: Aktualizace poděkování pro CVE-2021-44706
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
