Adobe – sikkerhetsbulletin

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringene adresserer flere kritiske og viktige sårbarheter. Vellykket utnytting kan føre til vilkårlig kjøring av kode i konteksten til gjeldende bruker.

Adobe har mottatt en rapport om at CVE-2021-21017 har blitt utnyttet ubegrenset i begrensede angrep rettet mot Adobe Reader-brukere på Windows.

Berørte versjoner

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

• Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

• Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

• Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

• Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.

• Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Informasjon om sikkerhetsproblemet

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet. 

• Rapportert anonymt (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari og Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng fra UCAS og Wang Yanhao fra QiAnXin Technology Research Institute i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer i samarbeid medTrend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
• Will Dormann of CERT/CC (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
• 360政企安全漏洞研究院 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
• CodeMaster i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu fra Palo Alto Networks (CVE-2021-21058)
• Ken Hsu of Palo Alto Networks, Heige (a.k.a. SuperHei) fra Knwonsec 404 Team (CVE-2021-21059)
• Ken Hsu, Bo Qu of Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang fra Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk fra Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka og Jörg Schwenk Chair for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisjoner

10. Februar 2021: Oppdaterte bekreftelser for CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10. mars 2021: Oppdatert bekreftelse for CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17. mars 2021: Tillagt detaljer for CVE-2021-21086, CVE-2021-21088 og CVE-2021-21089.

26. Mars 2021: Tillagt detaljer for CVE-2021-28545 og CVE-2021-28546.

29. september 2021: Tilføyd detaljer for CVE-2021-40723