Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro Sada nástrojů Adobe XMP SDK | APSB21-65

ID bulletinu

Datum zveřejnění

Priorita

APSB21-65

17. srpna 2021

3

Shrnutí

Společnost Adobe vydala aktualizace XMP-Toolkit-SDK.Tyto aktualizace řeší několik kritickýchdůležitých chyb zabezpečení.Úspěšné zneužití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.                              

Postižené verze

Produkt

Dotčené verze

Platforma

Adobe XMP-Toolkit-SDK

2020.1 a starší verze    

Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími /úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi. 

Produkt

Aktualizovaná verze

Platforma

Úroveň priority

Dostupnost

Adobe XMP-Toolkit-SDK   

2021.07  

Vše 

3

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Číslo CVE

Čtení mimo hranice

(CWE-125)

Nahodilé čtení souborového systému

Kritická 

7.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVE-2021-36045

Přístup k místu v paměti na konci vyrovnávací paměti

(CWE-788)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36046

CVE-2021-36052

Nesprávné ověření vstupu

(CWE-20)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36047

CVE-2021-36048

Přetečení vyrovnávací paměti na haldě

(CWE-122)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36050

CVE-2021-36051

Přetečení vyrovnávací paměti založené na zásobníku

(CWE-121)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39847

Čtení mimo hranice

(CWE-125)

Útoky DoS na aplikace

Důležitá

5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36053

Přetečení vyrovnávací paměti na haldě

(CWE-122)

Útoky DoS na aplikace

Důležitá

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36054

Přetečení vyrovnávací paměti na haldě

(CWE-122)

Útoky DoS na aplikace

Důležitá

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2021-36055

CVE-2021-36056

Podmínka „Write-what-where“

(CWE-123)

Svévolné spuštění kódu

Důležitá

4.7

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-36057

Podtečení vyrovnávací paměti (CWE-124)

Svévolné spuštění kódu

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36064

Přetečení nebo zopakování celého čísla

(CWE-190)

Útoky DoS na aplikace

Důležitá

6.6

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36058

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům: 

  • CFF z týmu Topsec Alpha (cff_123) (CVE-2021-36052, CVE-2021-36064)
  • CQY, tým Topsec Alpha (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)

Revize

1. září 2021: aktualizace základního hodnocení CVSS a vektoru CVSS pro CVE-2021-36064, CVE-2021-36052.

                                  . Přidány podrobnosti o CVE-2021-39847. 

                                  Aktualizace podrobností o poděkování pro yjdfy.    

27. září 2021: Bylo aktualizováno základní hodnocení CVSS pro chyby zabezpečení CVE-2021-36058 a CVE-2021-36054. Byla aktualizována kategorie chyby zabezpečení pro CVE-2021-36056. Bylo aktalizováno poděkování týkající se chyby zabezpečení CVE-2021-36058.


 


Další informace najdete na adrese https://helpx.adobe.com/security.html nebo e-mailu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online