Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programów Adobe Acrobat i Reader | APSB21-09

ID biuletynu

Data publikacji

Priorytet

APSB21-09

9 lutego 2021 r.

1

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.       

Firma Adobe otrzymała raport o tym, że luka CVE-2021-21017 została wykorzystana w dzikich atakach ukierunkowanych na użytkowników programu Adobe Reader w systemie Windows.

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

2020.013.20074 i wcześniejsze wersje          

Windows i macOS

Acrobat Reader DC

Continuous 

2020.013.20074 i wcześniejsze wersje          

Windows i macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 i wcześniejsze wersje

Windows i macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 i wcześniejsze wersje

Windows i macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 i wcześniejsze wersje          

Windows i macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 i wcześniejsze wersje          

Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

2021.001.20135       

Windows i macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows i macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows i macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows i macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows i macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows i macOS

1

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Numer CVE
Przepełnienie buforu
Odmowa usługi aplikacji
Istotna
CVE-2021-21046
Przepełnienie buforu sterty
Wykonanie dowolnego kodu
Krytyczna
CVE-2021-21017
Przeglądanie ścieżek
Wykonanie dowolnego kodu
Krytyczna
CVE-2021-21037
Przekroczenie zakresu liczb całkowitych
Wykonanie dowolnego kodu
Krytyczna
CVE-2021-21036
Niewłaściwa kontrola dostępu
Eskalacja uprawnień
Krytyczna
CVE-2021-21045
Odczyt poza zakresem
Eskalacja uprawnień
Istotna

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Używanie zasobu po zwolnieniu
Ujawnienie informacji
Istotna
CVE-2021-21061
Zapis poza zakresem
Wykonanie dowolnego kodu
Krytyczna

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Przepełnienie buforu
Wykonanie dowolnego kodu
Krytyczna

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Wyłuskanie wskaźnika o wartości NULL
Ujawnienie informacji
Istotna
CVE-2021-21057
Nieprawidłowa walidacja danych wejściowych
Ujawnienie informacji
Istotna
CVE-2021-21060
Użycie pamięci po zwolnieniu (Use After Free)
Wykonanie dowolnego kodu
Krytyczna

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Brak obsługi kontroli integralności
Obejście funkcji bezpieczeństwa Ważna

CVE-2021-28545

CVE-2021-28546

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów.

  • Anonimowy użytkownik (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari i Krishnakant Patil — CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng z UCAS i Wang Yanhao z QiAnXin Technology Research Institute współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • Użytkownik 360CDSRC podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann z firmy CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • Użytkownik 胖 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
  • Użytkownik 360政企安全漏洞研究院 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • Użytkownik 蚂蚁安全光年实验室基础研究小组 podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • Użytkownik CodeMaster podczas konkursu Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu z firmy Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu z firmy Palo Alto Networks, Heige (znany również jako SuperHei) z zespołu Knwonsec 404 Team (CVE-2021-21059)
  • Ken Hsu, Bo Qu z firmy Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang z firmy Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk z zespołu Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Władysław Mładenow, Christian Mainka oraz Jörg Schwenk z instytutu Chair for Network and Data Security, Uniwersytet Ruhry w Bochum (CVE-2021-28545, CVE-2021-28546)

Wersje

10 lutego 2021 r.: Zaktualizowano podziękowania dla CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 marca 2021 r.: Zaktualizowano podziękowania za zgłoszenia luk w zabezpieczeniach CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 marca 2021 r.: Dodano informacje dotyczące luk w zabezpieczeniach CVE-2021-21086, CVE-2021-21088 i CVE-2021-21089.

26 marca 2021 r.: Dodano informacje dotyczące luk w zabezpieczeniach CVE-2021-28545 oraz CVE-2021-28546.

29 września 2021 r.: Dodano szczegółowe informacje na temat luki CVE-2021-40723





 

 

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online