Tiedotteen tunnus
Päivitetty viimeksi
26. tammikuuta 2022
Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB21-55
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB21-55 |
14. syyskuuta 2021 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat useita kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.
Versiot
|
Seuranta |
Versiot |
Ympäristö |
|
|
Acrobat DC |
Continuous |
2021.005.20060 ja aiemmat versiot |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 ja aiemmat versiot |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 ja aiemmat versiot |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 ja aiemmat versiot |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 ja aiemmat versiot |
Windows ja macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 ja aiemmat versiot |
Windows ja macOS |
Ratkaisu
Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:
Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
IT-päälliköt (hallinnoidut ympäristöt):
Katso asennusohjelmien linkit julkaisutietojen versiosta.
Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Seuranta |
Päivitetyt versiot |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows ja macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows ja macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows ja macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows ja macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows ja macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows ja macOS |
2 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVSS-peruspisteet |
CVSS-vektori |
CVE-numero |
|---|---|---|---|---|---|
Tyyppisekaannus (CWE-843) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Kekopohjaisen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Tietojen paljastuminen (CWE-200) |
Mielivaltainen tiedostojärjestelmän luku |
Kohtalainen |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto |
Kriittinen |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Rajat ylittävä lukeminen (CWE-125) |
Muistivuoto |
Tärkeä |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Rajat ylittävä lukeminen (CWE-125) |
Mielivaltainen tiedostojärjestelmän luku |
Kohtalainen |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Rajat ylittävä kirjoittaminen (CWE-787) |
Muistivuoto |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Pinopohjaisen puskurin ylivuoto (CWE-121) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Hallitsemattoman hakupolun elementti (CWE-427) |
Mielivaltaisen koodin suoritus |
Tärkeä |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Vapautuksen jälkeinen käyttö (CWE-416) |
Mielivaltaisen koodin suoritus |
Tärkeä |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Vapautuksen jälkeinen käyttö (CWE-416) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Muistivuoto |
Tärkeä |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Vapautuksen jälkeinen käyttö (CWE-416) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Vapautuksen jälkeinen käyttö (CWE-416) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:
- Mark Vincent Yason (@MarkYason) yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- UCAS:n XuPeng ja QI-ANXIN Technology Research Instituten Ying Lingyun (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) ja Andrei Stefan (CVE-2021-39863)
- Qiao Li, Baidu Security Lab, yhteistyössä Trend Micro Zero Day Initiative -ohjelman kanssa (CVE-2021-39858)
Versiot
20.9.2021: Päivitetty kiitokset CVE-2021-35982:n tiedoilla.
28.9.2021: Päivitetty haavoittuvuuden CVE-2021-39863 tiedot.
5.10.2021: Päivitetty CVSS-peruspisteet, CVSS-vektori ja haavoittuvuuksien CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860 ja CVE-2021-39861 vakavuus. Lisätty haavoittuvuuksien CVE-2021-40725 ja CVE-2021-40726 tiedot ja kiitokset.
18t.1.2022: Päivitetty kiitokset haavoittuvuuksista CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
