Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB21-09

ID bollettino

Data di pubblicazione

Priorità

APSB21-09

09 febbraio 2021      

1

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche multiple e importanti. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.     

Adobe ha ricevuto un report secondo cui CVE-2021-21017 è stato sfruttato in attacchi limitati con obiettivo gli utenti Adobe Reader in Windows.

Versioni interessate

Prodotto

Track

Versioni interessate

Piattaforma

Acrobat DC 

Continuous 

2020.013.20074 e versioni precedenti   

Windows e macOS

Acrobat Reader DC

Continuous 

2020.013.20074 e versioni precedenti   

Windows e macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 e versioni precedenti

Windows e macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 e versioni precedenti

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 e versioni precedenti   

Windows e macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 e versioni precedenti   

Windows e macOS

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.     

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto

Track

Versioni aggiornate

Piattaforma

Livello di priorità

Disponibilità

Acrobat DC

Continuous

2021.001.20135       

Windows e macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows e macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows e macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows e macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows e macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows e macOS

1

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Sovraccarico del buffer
Rifiuto di utilizzo dell'applicazione
Importante
CVE-2021-21046
Sovraccarico del buffer basato su heap
Esecuzione di codice arbitrario
Critica
CVE-2021-21017
Path traversal
Esecuzione di codice arbitrario
Critica
CVE-2021-21037
Overflow di intero
Esecuzione di codice arbitrario
Critica
CVE-2021-21036
Controllo dell'accesso non autorizzato
Acquisizione illecita di privilegi
Critica
CVE-2021-21045
Lettura fuori limite
Acquisizione illecita di privilegi
Importante

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Use-after-free
Divulgazione di informazioni
Importante
CVE-2021-21061
Scrittura fuori limite
Esecuzione di codice arbitrario
Critica

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Sovraccarico del buffer
Esecuzione di codice arbitrario
Critica

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Annullamento puntatore NULL
Divulgazione di informazioni
Importante
CVE-2021-21057
Convalida dell'input errata
Divulgazione di informazioni
Importante
CVE-2021-21060
Use-after-free
Esecuzione di codice arbitrario
Critica

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Supporto mancante per la verifica dell'integrità 
Aggiramento della funzione di sicurezza Importante

CVE-2021-28545

CVE-2021-28546

Ringraziamenti

Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti. 

  • Segnalazione anonima (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari, and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) in collaborazione con la Zero Day Initiative di Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng di UCAS e Wang Yanhao di QiAnXin Technology Research Institute, in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE 2021-21021)
  • AIOFuzzer in collaborazione con la Zero Day Initiative di Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann di CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 a Tianfu Cup 2020, International Cybersecurity Contest (CVE-2021-21040)
  • 360政企安全漏洞研究院 in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • CodeMaster in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu di Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu di Palo Alto Networks, Heige (alias SuperHei) del team Knwonsec 404 (CVE-2021-21059)
  • Ken Hsu, Bo Qu di Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang di Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk di Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka e Jörg Schwenk presidente per la sicurezza dei dati e della rete, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisioni

10 febbraio 2021: conferme aggiornate per CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 marzo 2021: conferma aggiornata per CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 marzo 2021: sono stati aggiunti dettagli per CVE-2021-21086, CVE-2021-21088 e CVE-2021-21089.

26 marzo 2021: sono stati aggiunti dettagli per CVE-2021-28545 e CVE-2021-28546.

29 settembre 2021: sono stati aggiunti dettagli per CVE-2021-40723





 

 

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?