Bulletin-ID
Zuletzt aktualisiert am
14. Januar 2022
Sicherheits-Update für Adobe Acrobat und Reader verfügbar | APSB21-51
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB21-51 |
13. Juli 2021 |
2 |
Zusammenfassung
Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben mehrere kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.
Betroffene Versionen
|
Überwachen |
Betroffene Versionen |
Plattform |
Priority rating |
|
|
Acrobat DC |
Continuous |
2021.005.20054 und frühere Versionen |
Windows und macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 und frühere Versionen |
Windows und macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 und frühere Versionen |
Windows und macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 und frühere Versionen |
Windows und macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 und frühere Versionen |
Windows und macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 und frühere Versionen |
Windows und macOS |
2 |
Lösung
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.
Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
|
Überwachen |
Aktualisierte Versionen |
Plattform |
Priorität |
Verfügbarkeit |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows und macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows und macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows und macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows und macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows und macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows und macOS |
2 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummer |
|---|---|---|---|---|---|
Lesevorgang außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust | Wichtig |
3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Path Traversal (CWE-22) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Typverwechslung (CWE-843) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Schreibvorgang außerhalb des gültigen Bereichs (CWE-787) |
Willkürlicher Dateisystem-Schreibzugriff |
Kritisch |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Lesevorgang außerhalb des gültigen Bereichs (CWE-125) |
Speicherverlust |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Typverwechslung (CWE-843) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Heap-basierter Pufferüberlauf (CWE-122) |
Willkürliche Ausführung von Code |
Kritisch |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
NULL-Zeigerabweichung (CWE-476) |
Denial-of-Service-Angriff auf Anwendungsebene |
Wichtig |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Unkontrolliertes Suchpfadelement (CWE-427) |
Willkürliche Ausführung von Code |
Kritisch |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Einschleusen von BS-Befehlen (CWE-78) |
Willkürliche Ausführung von Code |
Kritisch |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Use After Free (CWE-416) |
Willkürliche Ausführung von Code |
Kritisch |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Nipun Gupta, Ashfaq Ansari und Krishnakant Patil – CloudFuzz in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-35983)
- Xu Peng von UCAS und Wang Yanhao vom QiAnXin Technology Research Institute in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) von Trend Micro Security Research in Zusammenarbeit mit der Trend Micro Zero Day Initiative (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Überarbeitungen
14. Juli 2021: Details zur Bestätigung für CVE-2021-28640 aktualisiert.
15. Juli 2021: Details zur Bestätigung für CVE-2021-35981 aktualisiert.
29. Juli 2021: CVSS-Basiswert und CVSS-Vektor für CVE-2021-28640, CVE-2021-28637, CVE-2021-28636 aktualisiert.
29. Juli 2021: Aktualisierung der Schwachstellenauswirkung, des Schweregrads, des CVSS-Basiswerts und des CVSS-Vektors für CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
