Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader | APSB21-09

Bulletin-ID

Dato publisert

Prioritet

APSB21-09

9. februar 2021

1

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene adresserer flere kritiske og viktige sårbarheter. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.

Adobe har mottatt en rapport om at CVE-2021-21017 har blitt utnyttet ubegrenset i begrensede angrep rettet mot Adobe Reader-brukere på Windows.

Berørte versjoner

Produkt

Spor

Berørte versjoner

Plattform

Acrobat DC 

Continuous 

2020.013.20074 og tidligere versjoner          

Windows og macOS

Acrobat Reader DC

Continuous 

2020.013.20074 og tidligere versjoner          

Windows og macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 og tidligere versjoner

Windows og macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 og tidligere versjoner

Windows og macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 og tidligere versjoner          

Windows og macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 og tidligere versjoner          

Windows og macOS

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt

Spor

Oppdaterte versjoner

Plattform

Prioritet Klassifisering

Tilgjengelighet

Acrobat DC

Continuous

2021.001.20135       

Windows og macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows og macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows og macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows og macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows og macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows og macOS

1

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Bufferoverflyt
Program, tjenestenekt
Viktig
CVE-2021-21046
Heapbasert bufferoverflyt
Vilkårlig kjøring av kode
Kritisk
CVE-2021-21017
Banekrysning
Vilkårlig kjøring av kode
Kritisk
CVE-2021-21037
Heltallsoverflyt
Vilkårlig kjøring av kode
Kritisk
CVE-2021-21036
Upassende tilgangskontroll
Rettighetsutvidelse
Kritisk
CVE-2021-21045
Lesing utenfor område
Rettighetsutvidelse
Viktig

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Use-after-free
Avsløring av informasjon
Viktig
CVE-2021-21061
Skriving utenfor område
Vilkårlig kjøring av kode
Kritisk

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Bufferoverflyt
Vilkårlig kjøring av kode
Kritisk

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULL Peker-dereferanse
Avsløring av informasjon
Viktig
CVE-2021-21057
Feil inndatavalidering
Avsløring av informasjon
Viktig
CVE-2021-21060
Use After Free
Vilkårlig kjøring av kode
Kritisk

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Mangler støtte for itegritetskontroll
Omgåelse av sikkerhetsfunksjon Viktig

CVE-2021-28545

CVE-2021-28546

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet. 

  • Rapportert anonymt (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari og Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng fra UCAS og Wang Yanhao fra QiAnXin Technology Research Institute i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer i samarbeid medTrend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann of CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
  • 360政企安全漏洞研究院 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • CodeMaster i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu fra Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu of Palo Alto Networks, Heige (a.k.a. SuperHei) fra Knwonsec 404 Team (CVE-2021-21059)
  • Ken Hsu, Bo Qu of Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang fra Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk fra Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka og Jörg Schwenk Chair for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisjoner

10. Februar 2021: Oppdaterte bekreftelser for CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10. mars 2021: Oppdatert bekreftelse for CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17. mars 2021: Tillagt detaljer for CVE-2021-21086, CVE-2021-21088 og CVE-2021-21089.

26. Mars 2021: Tillagt detaljer for CVE-2021-28545 og CVE-2021-28546.

29. september 2021: Tilføyd detaljer for CVE-2021-40723





 

 

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet