ID bollettino
Ultimo aggiornamento il
26 gen 2022
Aggiornamento di sicurezza disponibile per Adobe Acrobat e Reader | APSB21-55
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB21-55 |
14 settembre 2021 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche, importanti e moderate. Se sfruttata, tale vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.
Versioni interessate
|
Track |
Versioni interessate |
Piattaforma |
|
|
Acrobat DC |
Continuous |
2021.005.20060 e versioni precedenti |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 e versioni precedenti |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 e versioni precedenti |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 e versioni precedenti |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 e versioni precedenti |
Windows e macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 e versioni precedenti |
Windows e macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 e versioni precedenti |
Windows e macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 e versioni precedenti |
Windows e macOS |
Soluzione
Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.
Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:
Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.
I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.
È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.
Per gli amministratori IT (ambienti gestiti):
Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.
Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS).
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
|
Track |
Versioni aggiornate |
Piattaforma |
Livello di priorità |
Disponibilità |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows e macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows e macOS |
2 |
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Punteggio base CVSS |
Vettore CVSS |
Codice CVE |
|---|---|---|---|---|---|
Confusione di tipo (CWE-843) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Sovraccarico del buffer basato su heap (CWE-122) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Esposizione delle informazioni (CWE-200) |
Lettura di file system arbitraria |
Moderata |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Lettura fuori limite (CWE-125) |
Perdita di memoria |
Critica |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Lettura fuori limite (CWE-125) |
Perdita di memoria |
Importante |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Lettura fuori limite (CWE-125) |
Lettura di file system arbitraria |
Moderata |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Scrittura fuori limite (CWE-787) |
Perdita di memoria |
Critica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Overflow del buffer basato su stack (CWE-121) |
Esecuzione di codice arbitrario |
Critica |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Elemento percorso di ricerca non controllato (CWE-427) |
Esecuzione di codice arbitrario |
Importante |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Importante |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Riferimento puntatore NULL (CWE-476) |
Perdita di memoria |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Riferimento puntatore NULL (CWE-476) |
Rifiuto di utilizzo dell'applicazione |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Riferimento puntatore NULL (CWE-476) |
Rifiuto di utilizzo dell'applicazione |
Importante |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Riferimento puntatore NULL (CWE-476) |
Rifiuto di utilizzo dell'applicazione |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Use-after-free (CWE-416) |
Esecuzione di codice arbitrario |
Critica |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Ringraziamenti
Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti:
- Mark Vincent Yason (@MarkYason) in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng da UCAS e Ying Lingyun da QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) e Andrei Stefan (CVE-2021-39863)
- Qiao Li del Baidu Security Lab in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-39858)
Revisioni
20 settembre 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-35982.
28 settembre 2021: dettagli di conferma aggiornati per la vulnerabilità CVE-2021-39863.
5 ottobre 2021: Punteggio base CVSS aggiornato, vettore CVSS e gravità per CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Sono stati aggiunti dati e ringraziamenti per CVE-2021-40725 e CVE-2021-40726.
18 gennaio 2022: Sono stati aggiornati i dettagli del ringraziamento per CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
