Adoben tietoturvatiedote

Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB21-55

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-55

14. syyskuuta 2021

2

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat useita kriittisiätärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.

 

Versiot

Tuote

Seuranta

Versiot

Ympäristö

Acrobat DC 

Continuous 

2021.005.20060 ja aiemmat versiot          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 ja aiemmat versiot          

Windows

Acrobat DC 

Continuous 

2021.005.20058 ja aiemmat versiot          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 ja aiemmat versiot          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 ja aiemmat versiot

Windows ja macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 ja aiemmat versiot

Windows ja macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  ja aiemmat versiot          

Windows ja macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  ja aiemmat versiot          

Windows ja macOS

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.    

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:    

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.     

  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.      

  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.   

IT-päälliköt (hallinnoidut ympäristöt):     

  • Katso asennusohjelmien linkit julkaisutietojen versiosta.

  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 

   

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Seuranta

Päivitetyt versiot

Ympäristö

Prioriteettiluokitus

Saatavuus

Acrobat DC

Continuous

2021.007.20091 

Windows ja macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows ja macOS

2

Julkaisutiedot     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows ja macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows ja macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows ja macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows ja macOS

2

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVSS-peruspisteet 
CVSS-vektori
CVE-numero

Tyyppisekaannus (CWE-843)

Mielivaltaisen koodin suoritus

Kriittinen 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Kekopohjaisen puskurin ylivuoto

(CWE-122)

Mielivaltaisen koodin suoritus

Kriittinen  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Tietojen paljastuminen

(CWE-200)

Mielivaltainen tiedostojärjestelmän luku

Kohtalainen

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Rajat ylittävä lukeminen

(CWE-125)

Muistivuoto

Kriittinen   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Rajat ylittävä lukeminen

(CWE-125)

Muistivuoto

Tärkeä

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Rajat ylittävä lukeminen

(CWE-125)

Mielivaltainen tiedostojärjestelmän luku

Kohtalainen

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Rajat ylittävä kirjoittaminen

(CWE-787)

Muistivuoto

Kriittinen 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Pinopohjaisen puskurin ylivuoto 

(CWE-121)

Mielivaltaisen koodin suoritus

Kriittinen   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Hallitsemattoman hakupolun elementti

(CWE-427)

Mielivaltaisen koodin suoritus

Tärkeä 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Vapautuksen jälkeinen käyttö

(CWE-416)

Mielivaltaisen koodin suoritus

Tärkeä

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Vapautuksen jälkeinen käyttö

(CWE-416)

Mielivaltaisen koodin suoritus

Kriittinen 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)

Muistivuoto

Tärkeä

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)

Sovelluksen palvelunesto

Tärkeä  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)

Sovelluksen palvelunesto

Tärkeä

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)

Sovelluksen palvelunesto

Tärkeä  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Vapautuksen jälkeinen käyttö

(CWE-416)

Mielivaltaisen koodin suoritus
Kriittinen   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Vapautuksen jälkeinen käyttö

(CWE-416)

Mielivaltaisen koodin suoritus
Kriittinen   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:   

  • Mark Vincent Yason (@MarkYason) yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • UCAS:n XuPeng ja QI-ANXIN Technology Research Instituten Ying Lingyun (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) ja Andrei Stefan (CVE-2021-39863)
  • Qiao Li, Baidu Security Lab, yhteistyössä Trend Micro Zero Day Initiative -ohjelman kanssa (CVE-2021-39858)

Versiot

20.9.2021: Päivitetty kiitokset CVE-2021-35982:n tiedoilla.

28.9.2021: Päivitetty haavoittuvuuden CVE-2021-39863 tiedot.

5.10.2021: Päivitetty CVSS-peruspisteet, CVSS-vektori ja haavoittuvuuksien CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860 ja CVE-2021-39861 vakavuus. Lisätty haavoittuvuuksien CVE-2021-40725 ja CVE-2021-40726 tiedot ja kiitokset.

18t.1.2022: Päivitetty kiitokset haavoittuvuuksista CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa