ID bulletinu
Naposledy aktualizováno
1. 11. 2021
Zveřejnění aktualizací zabezpečení pro Sada nástrojů Adobe XMP SDK | APSB21-65
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB21-65 |
17. srpna 2021 |
3 |
Shrnutí
Společnost Adobe vydala aktualizace XMP-Toolkit-SDK.Tyto aktualizace řeší několik kritických a důležitých chyb zabezpečení.Úspěšné zneužití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.
Postižené verze
|
Produkt |
Dotčené verze |
Platforma |
|
Adobe XMP-Toolkit-SDK |
2020.1 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími /úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|
Adobe XMP-Toolkit-SDK |
2021.07 |
Vše |
3 |
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Číslo CVE |
|
|---|---|---|---|---|---|
|
Čtení mimo hranice (CWE-125) |
Nahodilé čtení souborového systému |
Kritická |
7.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H |
CVE-2021-36045 |
|
Přístup k místu v paměti na konci vyrovnávací paměti (CWE-788) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36046 CVE-2021-36052 |
|
Nesprávné ověření vstupu (CWE-20) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36047 CVE-2021-36048 |
|
Přetečení vyrovnávací paměti na haldě (CWE-122) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36050 CVE-2021-36051 |
|
Přetečení vyrovnávací paměti založené na zásobníku (CWE-121) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39847 |
|
Čtení mimo hranice (CWE-125) |
Útoky DoS na aplikace |
Důležitá |
5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36053 |
|
Přetečení vyrovnávací paměti na haldě (CWE-122) |
Útoky DoS na aplikace |
Důležitá |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36054 |
|
Přetečení vyrovnávací paměti na haldě (CWE-122) |
Útoky DoS na aplikace |
Důležitá |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2021-36055 CVE-2021-36056 |
|
Podmínka „Write-what-where“ (CWE-123) |
Svévolné spuštění kódu |
Důležitá |
4.7 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-36057 |
|
Podtečení vyrovnávací paměti (CWE-124) |
Svévolné spuštění kódu |
Kritická |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36064 |
|
Přetečení nebo zopakování celého čísla (CWE-190) |
Útoky DoS na aplikace |
Důležitá |
6.6 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36058 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:
- CFF z týmu Topsec Alpha (cff_123) (CVE-2021-36052, CVE-2021-36064)
- CQY, tým Topsec Alpha (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)
Revize
1. září 2021: aktualizace základního hodnocení CVSS a vektoru CVSS pro CVE-2021-36064, CVE-2021-36052.
. Přidány podrobnosti o CVE-2021-39847.
Aktualizace podrobností o poděkování pro yjdfy.
27. září 2021: Bylo aktualizováno základní hodnocení CVSS pro chyby zabezpečení CVE-2021-36058 a CVE-2021-36054. Byla aktualizována kategorie chyby zabezpečení pro CVE-2021-36056. Bylo aktalizováno poděkování týkající se chyby zabezpečení CVE-2021-36058.
Další informace najdete na adrese https://helpx.adobe.com/security.html nebo e-mailu PSIRT@adobe.com.
