Adoben tietoturvatiedote

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset korjaavat useita kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.

Adobe on saanut ilmoituksen, jonka mukaan haavoittuvuutta CVE-2021-21017 on hyödynnetty rajoitetuissa hyökkäyksissä, joiden kohteena olivat Adobe Readerin Windows-version käyttäjät.

Versiot

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

• Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

• Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

• Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

• Katso asennusohjelmien linkit julkaisutietojen versiosta.

• Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Lisätietoja haavoittuvuuksista

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa. 

• Nimetön ilmoittaja (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari ja Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng, UCAS ja Wang Yanhao, QiAnXin Technology Research Institute yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer yhteistyössä Trend Micro Zero Day -ohjelman kanssa (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC, Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
• Will Dormann, CERT/CC (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖, Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
• 360政企安全漏洞研究院, Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组, Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
• CodeMaster, Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu, Palo Alto Networks (CVE-2021-21058)
• Ken Hsu, Palo Alto Networks, Heige (a.k.a. SuperHei), Knwonsec 404 Team (CVE-2021-21059)
• Ken Hsu ja Bo Qu, Palo Alto Networks (CVE-2021-21062)
• Ken Hsu ja Zhibin Zhang, Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka ja Jörg Schwenk, Chair for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Versiot

10. helmikuuta 2021: Päivitetty CVE-2021-21058:n, CVE-2021-21059:n, CVE-2021-21062:n ja CVE-2021-21063:n kiitokset.

10. maaliskuuta 2021: Päivitetty CVE-2021-21035:n, CVE-2021-21033:n, CVE-2021-21028:n ja CVE-2021-21021:n kiitokset.

17. maaliskuuta 2021: Lisätty tietoja haavoittuvuuksiin CVE-2021-21086, CVE-2021-21088 ja CVE-2021-21089.

26. maaliskuuta 2021: Lisätty tietoja haavoittuvuuksiin CVE-2021-28545 ja CVE-2021-28546.

29. syyskuuta 2021: Lisätty tietoja haavoittuvuuteen CVE-2021-40723.