Tiedotteen tunnus
Päivitetty viimeksi
26. tammikuuta 2022
Adobe Acrobatin ja Readerin tietoturvapäivitys | APSB22-01
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB22-01 |
11. tammikuuta 2022 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja macOS-versioille. Nämä päivitykset ratkaisevat useita kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, muistivuotoon, sovelluksen palvelunestoon, tietoturvaominaisuuksien ohittamiseen ja käyttöoikeuksien laajennukseen.
Versiot
|
Seuranta |
Versiot |
Ympäristö |
|
|
Acrobat DC |
Continuous |
21.007.20099 ja aiemmat versiot |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 ja aiemmat versiot |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 ja aiemmat versiot |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 ja aiemmat versiot |
Windows ja macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 ja aiemmat versiot |
Windows ja macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 ja aiemmat versiot |
Windows ja macOS |
Vastauksia Acrobat DC:hen liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla.
Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.
Ratkaisu
Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:
Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
IT-päälliköt (hallinnoidut ympäristöt):
Katso asennusohjelmien linkit julkaisutietojen versiosta.
Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai macOS-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Seuranta |
Päivitetyt versiot |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows ja macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows ja macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows ja macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows ja macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows ja macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows ja macOS |
2 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVSS-peruspisteet | CVSS-vektori | CVE-numero |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Tietojen paljastuminen (CWE-200) |
Käyttöoikeuksien laajennus | Kohtalainen | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Pinopohjainen puskurin ylivuoto (CWE-121) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Käynnistämättömän osoittimen käyttö (CWE-824) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Rajat ylittävä kirjoittaminen (CWE-787) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Kekopohjainen puskurin ylivuoto (CWE-122) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Kekopohjainen puskurin ylivuoto (CWE-122) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Kokonaisluvun ylivuoto tai rivitys (CWE-190) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Virheellinen syötteen tarkistus (CWE-20) | Sovelluksen palvelunesto | Tärkeä | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Use After Free (CWE-416) | Sovelluksen palvelunesto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) | Tietoturvaominaisuuden ohitus | Kohtalainen | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Rajat ylittävä lukeminen (CWE-125) | Muistivuoto | Kohtalainen | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Tietojen paljastuminen (CWE-200) |
Käyttöoikeuksien laajennus |
Kohtalainen | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) | Sovelluksen palvelunesto | Kohtalainen | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) | Sovelluksen palvelunesto | Kohtalainen | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Rajat ylittävä lukeminen (CWE-125) | Muistivuoto | Kohtalainen | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Rajat ylittävä lukeminen (CWE-125) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Rajat ylittävä kirjoittaminen (CWE-787) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Use After Free (CWE-416) | Käyttöoikeuksien laajennus | Kohtalainen | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Use After Free (CWE-416) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Puskurin jälkeisen muistisijainnin käyttö (CWE-788) | Muistivuoto | Tärkeä | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Rajat ylittävä kirjoittaminen (CWE-787) | Mielivaltaisen koodin suoritus | Kriittinen | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Ashfaq Ansari ja Krishnakant Patil – HackSys Inc yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Zscalerin ThreatLabzin Kai Lu (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU TianfuCupin kautta (CVE-2021-44704)
- StakLeader TianfuCupin kautta (CVE-2021-44705)
- Kunlun Labin bee13oy TianfuCupin kautta (CVE-2021-44706)
- Vulnerability Research Institute Juvenile TianfuCupin kautta (CVE-2021-44707)
- Cisco Talosin Jaewon Min ja Aleksandar Nikolic (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Qihoo 360:n Rocco Calvi (TecR0c) ja Steven Seeley (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain Baidu Securitysta (fr0zenrain) (CVE-2021-44742)
- Anonyymi yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Versiot:
12.1.2022: Päivitetty kiitos haavoittuvuudesta CVE-2021-44706
13.1.2022: Päivitetty kiitos haavoittuvuudesta CVE-2021-45064, päivitetty haavoittuvuuksien CVE-2021-44702 ja CVE-2021-44739 tiedot
17.1.2022: Päivitetty kiitos haavoittuvuudesta CVE-2021-44706
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
