Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-09

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-09

09. Februar 2021

1

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Diese Updates beheben mehrere kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.       

Adobe hat eine Meldung erhalten, dass CVE-2021-21017 in begrenztem Umfang in Angriffen auf Benutzer von Adobe Reader unter Windows ausgenutzt wurde.

Betroffene Versionen

Produkt

Überwachen

Betroffene Versionen

Plattform

Acrobat DC 

Continuous 

2020.013.20074 und frühere Versionen

Windows und macOS

Acrobat Reader DC

Continuous 

2020.013.20074 und frühere Versionen

Windows und macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 und frühere Versionen

Windows und macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 und frühere Versionen

Windows und macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 und frühere Versionen

Windows und macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 und frühere Versionen

Windows und macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt

Überwachen

Aktualisierte Versionen

Plattform

Priorität

Verfügbarkeit

Acrobat DC

Continuous

2021.001.20135       

Windows und macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows und macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows und macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows und macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows und macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows und macOS

1

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Pufferüberlauf
Denial-of-Service-Angriff auf Anwendungsebene
Wichtig
CVE-2021-21046
Heap-basierter Pufferüberlauf
Willkürliche Ausführung von Code
Kritisch
CVE-2021-21017
Path Traversal
Willkürliche Ausführung von Code
Kritisch
CVE-2021-21037
Ganzzahlüberlauf
Willkürliche Ausführung von Code
Kritisch
CVE-2021-21036
Unzureichende Zugriffskontrolle
Berechtigungsausweitung
Kritisch
CVE-2021-21045
Lesevorgang außerhalb des gültigen Bereichs
Berechtigungsausweitung
Wichtig

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Freier Gebrauch
Offenlegung von Informationen
Wichtig
CVE-2021-21061
Schreibvorgang außerhalb des gültigen Bereichs
Willkürliche Ausführung von Code
Kritisch

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Pufferüberlauf
Willkürliche Ausführung von Code
Kritisch

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULL-Zeigerabweichung
Offenlegung von Informationen
Wichtig
CVE-2021-21057
Validierung ungültiger Eingaben
Offenlegung von Informationen
Wichtig
CVE-2021-21060
Use After Free
Willkürliche Ausführung von Code
Kritisch

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Fehlende Unterstützung für die Integritätsprüfung 
Umgehung der Sicherheitsfunktionen Wichtig

CVE-2021-28545

CVE-2021-28546

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden. 

  • Anonym gemeldet (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari und Krishnakant Patil – CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason), der mit Trend Micro Zero Day Initiative arbeitet (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng von UCAS und Wang Yanhao vom QiAnXin Technology Research Institute in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer arbeitet mit Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann von CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
  • 360政企安全漏洞研究院 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • CodeMaster beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu von Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu von Palo Alto Networks, Heige (alias SuperHei) des Knwonsec 404-Teams (CVE-2021-21059)
  • Ken Hsu, Bo Qu von Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang von Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk von Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka und Jörg Schwenk Chair für Netzwerk- und Datensicherheit, Ruhr Universität Bochum (CVE-2021-28545, CVE-2021-28546)

Überarbeitungen

10. Februar 2021: Aktualisierte Bestätigungen für CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10. März 2021: Aktualisierte Bestätigung für CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17. März 2021: Details hinzugefügt zu CVE-2021-21086, CVE-2021-21088 und CVE-2021-21089.

26. März, 2021: Details hinzugefügt für CVE-2021-28545 und CVE-2021-28546.

29. September 2021: Details zu CVE-2021-40723 wurden hinzugefügt





 

 

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online