Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB21-51

ID bollettino

Data di pubblicazione

Priorità

APSB21-51

13 luglio 2021

2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.

 

Versioni interessate

Prodotto

Track

Versioni interessate

Piattaforma

Priority rating                 

Acrobat DC 

Continuous 

2021.005.20054 e versioni precedenti          

Windows e MacOS

2

Acrobat Reader DC

Continuous 

2021.005.20054 e versioni precedenti          

Windows e MacOS

2

 

 

 

 

2

Acrobat 2020

Classic 2020           

2020.004.30005 e versioni precedenti

Windows e macOS

2

Acrobat Reader 2020

Classic 2020           

2020.004.30005 e versioni precedenti

Windows e macOS

2

 

 

 

 

2

Acrobat 2017

Classic 2017

2017.011.30197 e versioni precedenti          

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30197 e versioni precedenti          

Windows e macOS

2

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

  • Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

  • I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

  • È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

  • Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.     

  • Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

   

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Prodotto

Track

Versioni aggiornate

Piattaforma

Livello di priorità

Disponibilità

Acrobat DC

Continuous

2021.005.20058       

Windows e macOS

2

Acrobat Reader DC

Continuous

2021.005.20058  

Windows e macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 

Windows e macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006 

Windows e macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows e macOS

2

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Punteggio base CVSS 
Vettore CVSS
Codice CVE

Lettura fuori limite 

(CWE-125

Perdita di memoria Importante
3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Path traversal

(CWE-22)

Esecuzione di codice arbitrario
Critica
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario 
Critica
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Confusione del tipo di oggetto

(CWE-843)

Esecuzione di codice arbitrario 
Critica
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Use-after-free

(CWE-416)

Esecuzione di codice arbitrario 
Critica
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Scrittura fuori limite

(CWE-787)

Scrittura di file system arbitraria
Critica
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Lettura fuori limite

(CWE-125)

Perdita di memoria
Critica
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Confusione del tipo di oggetto

(CWE-843)

Lettura di file system arbitraria
Importante
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Sovraccarico del buffer basato su heap

(CWE-122)

Esecuzione di codice arbitrario 
Critica
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

Annullamento puntatore NULL

(CWE-476)

Rifiuto di utilizzo dell'applicazione
Importante
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Elemento percorso di ricerca non controllato

(CWE-427)

Esecuzione di codice arbitrario 
Critica
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Iniezione comando SO

(CWE-78)

Esecuzione di codice arbitrario 
Critica
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Use-after-free 

(CWE-416)

Esecuzione di codice arbitrario 
Critica
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Ringraziamenti

Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti:   

  • Nipun Gupta, Ashfaq Ansari e Krishnakant Patil - CloudFuzz in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-35983) 
  • Xu Peng di UCAS e Wang Yanhao di QiAnXin Technology Research Institute in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-35981, CVE-2021-28638)
  • Habooblab (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-20202 1-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Utente anonimo in collaborazione con Zero Day Initiative di Trend Micro (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) di Trend Micro Security Research in collaborazione con la Trend Micro Zero Day Initiative (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Revisioni

14 luglio 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-28640.

15 luglio 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-35981.

29 luglio 2021: è stato aggiornato il punteggio base CVSS e il vettore CVSS per le vulnerabilità CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 luglio 2021: è stato aggiornato il punteggio base Vulnerability Impact, Severity, CVSS e il vettore CVSS per le vulnerabilità CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644



 

 


For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online