Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader  | APSB22-01

Bulletin-ID

Dato publisert

Prioritet

APSB22-01

11. januar 2022

2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer  flere kritiske, viktige og moderate sikkerhetsproblemer. Vellykket utnyttelse kan føre til kjøring av vilkårlig kode og eskalering av rettigheter, minnelekkasje, tjenestenekt for programmer,  omgåelse av sikkerhetsfunksjoner og eskalering av rettigheter.

Berørte versjoner

Produkt

Spor

Berørte versjoner

Plattform

Acrobat DC 

Continuous 

21.007.20099 og tidligere versjoner

Windows

Acrobat Reader DC

Continuous 


21.007.20099 og tidligere versjoner
 

Windows

Acrobat DC 

Continuous 

21.007.20099 og tidligere versjoner
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 og tidligere versjoner
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 og tidligere versjoner  

Windows og macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 og tidligere versjoner 

Windows og macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  og tidligere versjoner          

Windows og macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  og tidligere versjoner        
  

Windows og macOS

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.

Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.    

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:    

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.     

  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.      

  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.   

For IT-administratorer (administrerte miljøer):     

  • Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.

  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH. 

   

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:   

Produkt

Spor

Oppdaterte versjoner

Plattform

Prioritet Klassifisering

Tilgjengelighet

Acrobat DC

Continuous

21.011.20039

Windows og macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows og macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows og macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows og macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows og macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows og macOS

2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVSS grunnscore CVSS-vektor CVE-nummer
Use After Free (CWE-416) Vilkårlig kjøring av kode  Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Informasjonseksponering (CWE-200)
Eskalering av rettigheter Moderat 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Stakkbasert bufferoverflyt (CWE-121) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Use After Free (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Tilgang av ikke-initialisert peker (CWE-824) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Use After Free (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Skriving utenfor område (CWE-787) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Heapbasert bufferoverflyt (CWE-122) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Heapbasert bufferoverflyt (CWE-122) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Use After Free (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Heltallsoverflyt eller wraparound (CWE-190) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Feil inndatavalidering (CWE-20) Tjenestenekt for program Viktig 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Use After Free (CWE-416) Tjenestenekt for program Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Brudd på sikre designprinsipper (CWE-657) Omgåelse av sikkerhetsfunksjon Moderat 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Lesing utenfor område (CWE-125) Minnelekkasje Moderat 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Informasjonseksponering (CWE-200)
Eskalering av rettigheter
Moderat 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Dereferanse av nullpeker (CWE-476) Program, tjenestenekt Moderat 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Dereferanse av nullpeker (CWE-476) Program, tjenestenekt Moderat 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Lesing utenfor område (CWE-125) Minnelekkasje Moderat 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Lesing utenfor område (CWE-125) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Skriving utenfor område (CWE-787) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Use After Free (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Use After Free (CWE-416) Eskalering av rettigheter Moderat 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Use After Free (CWE-416) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Tilgang til minneområde etter slutt på buffer (CWE-788) Minnelekkasje Viktig 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Skriving utenfor område (CWE-787) Kjøring av vilkårlig kode Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Takk

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:

  • Ashfaq Ansari og Krishnakant Patil – HackSys Inc i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu of Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU via TianfuCup (CVE-2021-44704)
  • StakLeader via TianfuCup (CVE-2021-44705)
  • bee13oy of Kunlun Lab via TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile Via TianfuCup (CVE-2021-44707)
  • Jaewon Min og Aleksandar Nikolic fra Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) og Steven Seeley fra Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain of Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anonymt samarbeid med Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Revisjoner:

12. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-44706

13. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-45064 og oppdatert CVE-detaljer for CVE-2021-44702 og CVE-2021-44739

17. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-44706

 


For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.

Få hjelp raskere og enklere

Ny bruker?