Tiedotteen tunnus
Päivitetty viimeksi
1. marraskuuta 2021
Adobe XMP Toolkit SDK:n tietoturvapäivitykset | APSB21-65
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB21-65 |
17. elokuuta 2021 |
3 |
Yhteenveto
Adobe on julkaissut päivityksiä XMP-Toolkit-SDK:ta varten. Nämä päivitykset korjaavat useita kriittisiä ja tärkeitä haavoittuvuuksia.Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.
Versiot
|
Tuote |
Versio, jota haavoittuvuus koskee |
Ympäristö |
|
Adobe XMP-Toolkit-SDK |
2020.1 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|
Adobe XMP-Toolkit-SDK |
2021.07 |
Kaikki |
3 |
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
|---|---|---|---|---|---|
|
Rajat ylittävä lukeminen (CWE-125) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
7.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H |
CVE-2021-36045 |
|
Puskurin jälkeisen muistisijainnin käyttö (CWE-788) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36046 CVE-2021-36052 |
|
Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36047 CVE-2021-36048 |
|
Kekopohjaisen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36050 CVE-2021-36051 |
|
Pinopohjaisen puskurin ylivuoto (CWE-121) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39847 |
|
Rajat ylittävä lukeminen (CWE-125) |
Sovelluksen palvelunesto |
Tärkeä |
5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36053 |
|
Kekopohjaisen puskurin ylivuoto (CWE-122) |
Sovelluksen palvelunesto |
Tärkeä |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36054 |
|
Kekopohjaisen puskurin ylivuoto (CWE-122) |
Sovelluksen palvelunesto |
Tärkeä |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2021-36055 CVE-2021-36056 |
|
Write-what-where-ehto (CWE-123) |
Mielivaltaisen koodin suoritus |
Tärkeä |
4.7 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-36057 |
|
Puskurin alikirjoitus (puskurin alivuoto) (CWE-124) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36064 |
|
Kokonaisluvun ylivuoto tai rivitys (CWE-190) |
Sovelluksen palvelunesto |
Tärkeä |
6.6 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36058 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:
- CFF, Topsec Alpha Team (cff_123) (CVE-2021-36052, CVE-2021-36064)
- CQY, Topsec Alpha Team (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)
Versio
1. syyskuuta 2021: Päivitetty haavoittuvuuksien CVE-2021-36064 ja CVE-2021-36052 CVSS-peruspisteet ja CVSS-vektori.
Lisätty tietoja haavoittuvuudesta CVE-2021-39847.
Päivitetty kiitokset yjdfy:n tiedoilla.
27. syyskuuta 2021: Päivitetty haavoittuvuuksien CVE-2021-36058 ja CVE-2021-36054 CVSS-peruspisteet. Päivitetty haavoittuvuuden CVE-2021-36056 haavoittuvuusluokka. Päivitetty haavoittuvuuden CVE-2021-36058 kiitokset.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
