ID biuletynu
Ostatnia aktualizacja
1 lis 2021
Dostępne aktualizacje zabezpieczeń programów Adobe Acrobat i Reader | APSB21-09
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB21-09 |
9 lutego 2021 r. |
1 |
Podsumowanie
Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.
Firma Adobe otrzymała raport o tym, że luka CVE-2021-21017 została wykorzystana w dzikich atakach ukierunkowanych na użytkowników programu Adobe Reader w systemie Windows.
Zagrożone wersje
|
Ścieżka |
Zagrożone wersje |
Platforma |
|
|
Acrobat DC |
Continuous |
2020.013.20074 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader DC |
Continuous |
2020.013.20074 i wcześniejsze wersje |
Windows i macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 i wcześniejsze wersje |
Windows i macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 i wcześniejsze wersje |
Windows i macOS |
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows i macOS |
1 |
|
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows i macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows i macOS |
1 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows i macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows i macOS |
1 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows i macOS |
1 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Numer CVE |
|---|---|---|---|
| Przepełnienie buforu |
Odmowa usługi aplikacji |
Istotna |
CVE-2021-21046 |
| Przepełnienie buforu sterty |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21017 |
| Przeglądanie ścieżek |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21037 |
| Przekroczenie zakresu liczb całkowitych |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21036 |
| Niewłaściwa kontrola dostępu |
Eskalacja uprawnień |
Krytyczna |
CVE-2021-21045 |
| Odczyt poza zakresem |
Eskalacja uprawnień |
Istotna |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
| Używanie zasobu po zwolnieniu |
Ujawnienie informacji |
Istotna |
CVE-2021-21061 |
| Zapis poza zakresem |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
| Przepełnienie buforu |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
| Wyłuskanie wskaźnika o wartości NULL |
Ujawnienie informacji |
Istotna |
CVE-2021-21057 |
| Nieprawidłowa walidacja danych wejściowych |
Ujawnienie informacji |
Istotna |
CVE-2021-21060 |
| Użycie pamięci po zwolnieniu (Use After Free) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
| Brak obsługi kontroli integralności |
Obejście funkcji bezpieczeństwa | Ważna | CVE-2021-28545 CVE-2021-28546 |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów.
- Anonimowy użytkownik (CVE-2021-21017)
- Nipun Gupta, Ashfaq Ansari i Krishnakant Patil — CloudFuzz (CVE-2021-21041)
- Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
- Xu Peng z UCAS i Wang Yanhao z QiAnXin Technology Research Institute współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
- AIOFuzzer współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21044, CVE-2021-21061, CVE-2021-21088)
- Użytkownik 360CDSRC podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
- Will Dormann z firmy CERT/CC (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- Użytkownik 胖 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
- Użytkownik 360政企安全漏洞研究院 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
- Użytkownik 蚂蚁安全光年实验室基础研究小组 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
- Użytkownik CodeMaster podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- Ken Hsu z firmy Palo Alto Networks (CVE-2021-21058)
- Ken Hsu z firmy Palo Alto Networks, Heige (znany również jako SuperHei) z zespołu Knwonsec 404 Team (CVE-2021-21059)
- Ken Hsu, Bo Qu z firmy Palo Alto Networks (CVE-2021-21062)
- Ken Hsu, Zhibin Zhang z firmy Palo Alto Networks (CVE-2021-21063)
- Mateusz Jurczyk z zespołu Google Project Zero (CVE-2021-21086)
- Simon Rohlmann, Władysław Mładenow, Christian Mainka oraz Jörg Schwenk z instytutu Chair for Network and Data Security, Uniwersytet Ruhry w Bochum (CVE-2021-28545, CVE-2021-28546)
Wersje
10 lutego 2021 r.: Zaktualizowano podziękowania dla CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.
10 marca 2021 r.: Zaktualizowano podziękowania za zgłoszenia luk w zabezpieczeniach CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021
17 marca 2021 r.: Dodano informacje dotyczące luk w zabezpieczeniach CVE-2021-21086, CVE-2021-21088 i CVE-2021-21089.
26 marca 2021 r.: Dodano informacje dotyczące luk w zabezpieczeniach CVE-2021-28545 oraz CVE-2021-28546.
29 września 2021 r.: Dodano szczegółowe informacje na temat luki CVE-2021-40723
