Bulletin-ID
Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-09
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB21-09 |
09. Februar 2021 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Diese Updates beheben mehrere kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.
Adobe hat eine Meldung erhalten, dass CVE-2021-21017 in begrenztem Umfang in Angriffen auf Benutzer von Adobe Reader unter Windows ausgenutzt wurde.
Betroffene Versionen
Überwachen |
Betroffene Versionen |
Plattform |
|
Acrobat DC |
Continuous |
2020.013.20074 und frühere Versionen |
Windows und macOS |
Acrobat Reader DC |
Continuous |
2020.013.20074 und frühere Versionen |
Windows und macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 und frühere Versionen |
Windows und macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 und frühere Versionen |
Windows und macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 und frühere Versionen |
Windows und macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 und frühere Versionen |
Windows und macOS |
Lösung
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.
Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Überwachen |
Aktualisierte Versionen |
Plattform |
Priorität |
Verfügbarkeit |
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows und macOS |
1 |
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows und macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows und macOS |
1 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows und macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows und macOS |
1 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows und macOS |
1 |
Sicherheitslückendetails
Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVE-Nummer |
---|---|---|---|
Pufferüberlauf |
Denial-of-Service-Angriff auf Anwendungsebene |
Wichtig |
CVE-2021-21046 |
Heap-basierter Pufferüberlauf |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21017 |
Path Traversal |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21037 |
Ganzzahlüberlauf |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21036 |
Unzureichende Zugriffskontrolle |
Berechtigungsausweitung |
Kritisch |
CVE-2021-21045 |
Lesevorgang außerhalb des gültigen Bereichs |
Berechtigungsausweitung |
Wichtig |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
Freier Gebrauch |
Offenlegung von Informationen |
Wichtig |
CVE-2021-21061 |
Schreibvorgang außerhalb des gültigen Bereichs |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
Pufferüberlauf |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
NULL-Zeigerabweichung |
Offenlegung von Informationen |
Wichtig |
CVE-2021-21057 |
Validierung ungültiger Eingaben |
Offenlegung von Informationen |
Wichtig |
CVE-2021-21060 |
Use After Free |
Willkürliche Ausführung von Code |
Kritisch |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
Fehlende Unterstützung für die Integritätsprüfung |
Umgehung der Sicherheitsfunktionen | Wichtig | CVE-2021-28545 CVE-2021-28546 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden.
- Anonym gemeldet (CVE-2021-21017)
- Nipun Gupta, Ashfaq Ansari und Krishnakant Patil – CloudFuzz (CVE-2021-21041)
- Mark Vincent Yason (@MarkYason), der mit Trend Micro Zero Day Initiative arbeitet (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
- Xu Peng von UCAS und Wang Yanhao vom QiAnXin Technology Research Institute in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
- AIOFuzzer arbeitet mit Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061, CVE-2021-21088)
- 360CDSRC beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
- Will Dormann von CERT/CC (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- 胖 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
- 360政企安全漏洞研究院 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
- 蚂蚁安全光年实验室基础研究小组 beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
- CodeMaster beim Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- Ken Hsu von Palo Alto Networks (CVE-2021-21058)
- Ken Hsu von Palo Alto Networks, Heige (alias SuperHei) des Knwonsec 404-Teams (CVE-2021-21059)
- Ken Hsu, Bo Qu von Palo Alto Networks (CVE-2021-21062)
- Ken Hsu, Zhibin Zhang von Palo Alto Networks (CVE-2021-21063)
- Mateusz Jurczyk von Google Project Zero (CVE-2021-21086)
- Simon Rohlmann, Vladislav Mladenov, Christian Mainka und Jörg Schwenk Chair für Netzwerk- und Datensicherheit, Ruhr Universität Bochum (CVE-2021-28545, CVE-2021-28546)
Überarbeitungen
10. Februar 2021: Aktualisierte Bestätigungen für CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.
10. März 2021: Aktualisierte Bestätigung für CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021
17. März 2021: Details hinzugefügt zu CVE-2021-21086, CVE-2021-21088 und CVE-2021-21089.
26. März, 2021: Details hinzugefügt für CVE-2021-28545 und CVE-2021-28546.
29. September 2021: Details zu CVE-2021-40723 wurden hinzugefügt