Bulletin-ID
Sikkerhetsoppdatering tilgjengelig for Adobe Acrobat og Reader | APSB22-01
|
Dato publisert |
Prioritet |
---|---|---|
APSB22-01 |
11. januar 2022 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og macOS. Disse oppdateringen adresserer flere kritiske, viktige og moderate sikkerhetsproblemer. Vellykket utnyttelse kan føre til kjøring av vilkårlig kode og eskalering av rettigheter, minnelekkasje, tjenestenekt for programmer, omgåelse av sikkerhetsfunksjoner og eskalering av rettigheter.
Berørte versjoner
Spor |
Berørte versjoner |
Plattform |
|
Acrobat DC |
Continuous |
21.007.20099 og tidligere versjoner |
Windows |
Acrobat Reader DC |
Continuous |
|
Windows |
Acrobat DC |
Continuous |
21.007.20099 og tidligere versjoner |
macOS |
Acrobat Reader DC |
Continuous |
21.007.20099 og tidligere versjoner |
macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 og tidligere versjoner |
Windows og macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 og tidligere versjoner |
Windows og macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 og tidligere versjoner |
Windows og macOS |
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 og tidligere versjoner |
Windows og macOS |
Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC.
Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.
Løsning
Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor.
De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:
Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.
Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.
For IT-administratorer (administrerte miljøer):
Se den spesifikke utgivelsesmerknadversjonen for lenker til installatører.
Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på macOS, Apple Remote Desktop og SSH.
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Spor |
Oppdaterte versjoner |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows og macOS |
2 |
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows og macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows og macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows og macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows og macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows og macOS |
2 |
Informasjon om sikkerhetsproblemet
Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | CVSS grunnscore | CVSS-vektor | CVE-nummer |
Use After Free (CWE-416) | Vilkårlig kjøring av kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
Informasjonseksponering (CWE-200) |
Eskalering av rettigheter | Moderat | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
Stakkbasert bufferoverflyt (CWE-121) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
Use After Free (CWE-416) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
Tilgang av ikke-initialisert peker (CWE-824) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
Use After Free (CWE-416) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
Skriving utenfor område (CWE-787) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
Heapbasert bufferoverflyt (CWE-122) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
Heapbasert bufferoverflyt (CWE-122) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
Use After Free (CWE-416) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
Heltallsoverflyt eller wraparound (CWE-190) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
Feil inndatavalidering (CWE-20) | Tjenestenekt for program | Viktig | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
Use After Free (CWE-416) | Tjenestenekt for program | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
Brudd på sikre designprinsipper (CWE-657) | Omgåelse av sikkerhetsfunksjon | Moderat | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
Lesing utenfor område (CWE-125) | Minnelekkasje | Moderat | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
Informasjonseksponering (CWE-200) |
Eskalering av rettigheter |
Moderat | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
Dereferanse av nullpeker (CWE-476) | Program, tjenestenekt | Moderat | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
Dereferanse av nullpeker (CWE-476) | Program, tjenestenekt | Moderat | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
Lesing utenfor område (CWE-125) | Minnelekkasje | Moderat | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
Lesing utenfor område (CWE-125) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
Skriving utenfor område (CWE-787) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
Use After Free (CWE-416) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
Use After Free (CWE-416) | Eskalering av rettigheter | Moderat | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
Use After Free (CWE-416) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
Tilgang til minneområde etter slutt på buffer (CWE-788) | Minnelekkasje | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
Skriving utenfor område (CWE-787) | Kjøring av vilkårlig kode | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Takk
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Ashfaq Ansari og Krishnakant Patil – HackSys Inc i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu of Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU via TianfuCup (CVE-2021-44704)
- StakLeader via TianfuCup (CVE-2021-44705)
- bee13oy of Kunlun Lab via TianfuCup (CVE-2021-44706)
- Vulnerability Research Institute Juvenile Via TianfuCup (CVE-2021-44707)
- Jaewon Min og Aleksandar Nikolic fra Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) og Steven Seeley fra Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain of Baidu Security (fr0zenrain) (CVE-2021-44742)
- Anonymt samarbeid med Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Revisjoner:
12. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-44706
13. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-45064 og oppdatert CVE-detaljer for CVE-2021-44702 og CVE-2021-44739
17. januar 2022: Vi har oppdatert bekreftelse for CVE-2021-44706
For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.