Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Acrobat und Reader verfügbar  | APSB22-01

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB22-01

11. Januar 2022

2

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben mehrere kritischewichtige und moderate Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code, zu einem Speicherleck, zu einer Dienstverweigerung der Anwendung, zur Umgehung der Sicherheitsfunktionen von  und zur Ausweitung der Rechte führen. 

Betroffene Versionen

Produkt

Überwachen

Betroffene Versionen

Plattform

Acrobat DC 

Continuous 

21.007.20099 und frühere Versionen

Windows

Acrobat Reader DC

Continuous 


21.007.20099 und frühere Versionen
 

Windows

Acrobat DC 

Continuous 

21.007.20099 und frühere Versionen
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 und frühere Versionen
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 und frühere Versionen    

Windows und macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 und frühere Versionen 

Windows und macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204 und frühere Versionen          

Windows und macOS

Acrobat Reader 2017

Classic 2017

17.011.30204 und frühere Versionen                  
  

Windows und macOS

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite Adobe Acrobat DC – Häufig gestellte Fragen

Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite Acrobat Reader DC – Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.    

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:    

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.     

  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 

  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.     

Für IT-Administratoren (verwaltete Umgebungen):     

  • Links zu Installationsprogrammen finden Sie in der entsprechenden Version der Versionshinweise.

  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder Apple Remote Desktop und SSH (macOS).     

   

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:   

Produkt

Überwachen

Aktualisierte Versionen

Plattform

Priorität

Verfügbarkeit

Acrobat DC

Continuous

21.011.20039

Windows und macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows und macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows und macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows und macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows und macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows und macOS

2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVSS-Basispunktzahl CVSS-Vektor CVE-Nummer
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code  Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Informationsexposition (CWE-200)
Berechtigungsausweitung Mittel 3,1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Stapelbasierter Pufferüberlauf (CWE-121) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Zugriff auf nicht initialisierten Pointer (CWE-824) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Out-of-Bounds-Schreiben (CWE-787) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Heap-basierter Pufferüberlauf (CWE-122) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Heap-basierter Pufferüberlauf (CWE-122) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Integer-Überlauf oder Umfließen (CWE-190) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Unangemessene Eingabevalidierung (CWE-20) Denial-of-Service-Angriff auf Anwendungsebene Wichtig 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Nach kostenloser Version verwenden (CWE-416) Denial-of-Service-Angriff auf Anwendungsebene Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Verletzung sicherer Designgrundsätze (CWE-657) Umgehung der Sicherheitsfunktionen Mittel 2.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Gelesen außerhalb des gültigen Bereichs (CWE-125) Speicherverlust Mittel 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Informationsexposition (CWE-200)
Berechtigungsausweitung
Mittel 3,1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
NULL-Zeigerabweichung (CWE-476) Denial-of-Service-Angriff auf Anwendungsebene Mittel 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
NULL-Zeigerabweichung (CWE-476) Denial-of-Service-Angriff auf Anwendungsebene Mittel 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Gelesen außerhalb des gültigen Bereichs (CWE-125) Speicherverlust Mittel 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Gelesen außerhalb des gültigen Bereichs (CWE-125) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Out-of-Bounds-Schreiben (CWE-787) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Nach kostenloser Version verwenden (CWE-416) Berechtigungsausweitung Mittel 3,3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Nach kostenloser Version verwenden (CWE-416) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Zugriff auf Speicherposition nach dem Pufferende (CWE-788) Speicherverlust Wichtig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Out-of-Bounds-Schreiben (CWE-787) Willkürliche Ausführung von Code Kritisch 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:   

  • Ashfaq Ansari und Krishnakant Patil – HackSys Inc in Zusammenarbeit mit Trend Micro Zero Day Initiative (CVE-2021-44701) 
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu von Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU über TianfuCup (CVE-2021-44704)
  • StakLeader über TianfuCup (CVE-2021-44705)
  • bee13oy von Kunlun Lab über TianfuCup (CVE-2021-44706)
  • Institut für Schwachstellenforschung Juvenile über TianfuCup (CVE-2021-44707)
  • Jaewon Min und Aleksandar Nikolic von Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) und Steven Seeley von Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • Chamal (CVE-2021-44714)
  • fr0zenrain von Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063) CVE-2021-45068
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Überarbeitungen:

12. Januar 2022: Aktualisierte Bestätigungsmeldung für CVE-2021-44706

13. Januar 2022: Aktualisierte Bestätigung für CVE-2021-45064, aktualisierte CVE-Details für CVE-2021-44702 und CVE-2021-44739

17. Januar 2022: Aktualisierte Bestätigungsmeldung für CVE-2021-44706

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?