Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB21-29

ID biuletynu

Data publikacji

Priorytet

APSB21-29

11 maja 2021 r.

1

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i istotnych luk w zabezpieczeniach. Wykorzystanie tej luki mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.       

Firma Adobe otrzymała raport o tym, że luka CVE-2021-28550 została wykorzystana w rzeczywistych atakach ukierunkowanych na użytkowników programu Adobe Reader w systemie Windows.

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

2021.001.20150 i wcześniejsze wersje          

Windows

Acrobat Reader DC

Continuous 

2021.001.20150 i wcześniejsze wersje          

Windows 

Acrobat DC 

Continuous 

2021.001.20149 i wcześniejsze 

oraz koreańskiej    

macOS

Acrobat Reader DC

Continuous 

2021.001.20149 i wcześniejsze 

oraz koreańskiej          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 i wcześniejsze wersje

Windows i macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30020 i wcześniejsze wersje

Windows i macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30194 i wcześniejsze wersje          

Windows i macOS

Acrobat Reader 2017

Classic 2017

2017.011.30194 i wcześniejsze wersje          

Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.      

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.     

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

2021.001.20155       

Windows i macOS

1

Acrobat Reader DC

Continuous

2021.001.20155

Windows i macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30025

Windows i macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30025

Windows i macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30196

Windows i macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30196

Windows i macOS

1

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Numer CVE
Przepełnienie buforu
Wykonanie dowolnego kodu
Istotna
CVE-2021-28561
Przepełnienie buforu sterty
Wykonanie dowolnego kodu
Krytyczna
CVE-2021-28560
Przepełnienie buforu sterty
Wykonanie dowolnego kodu
Istotna 
CVE-2021-28558
Odczyt poza zakresem
Wyciek pamięci
Krytyczna
CVE-2021-28557
Odczyt poza zakresem
Odczytanie dowolnych danych w systemie plików
Istotna 
CVE-2021-28555
Odczyt poza zakresem
Wykonanie dowolnego kodu
Krytyczna 

CVE-2021-28565

Zapis poza zakresem
Wykonanie dowolnego kodu
Krytyczna 
CVE-2021-28564
Zapis poza zakresem
Wykonanie dowolnego kodu
Krytyczna

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Ujawnienie informacji prywatnych
Eskalacja uprawnień
Istotna 

CVE-2021-28559

Użycie pamięci po zwolnieniu (Use After Free)
Wykonanie dowolnego kodu
Krytyczna 

CVE-2021-28562

CVE-2021-28550

CVE-2021-28553

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów. 

  • Anonimowy użytkownik (CVE-2021-28550)
  • Aleksandar Nikolic z firmy Cisco Talos. (CVE-2021-28562)
  • Xu peng (xupeng_1231) (CVE-2021-28561)
  • Użytkownik chutchut (CVE-2021-28559)
  • Użytkownik fr0zenrain z Baidu Security (CVE-2021-28560)
  • Haboob Labs (CVE-2021-28557, CVE-2021-28564, CVE-2021-28565, CVE-2021-28553, , CVE-2021-28558, CVE-2021-28555)

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online