Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB21-51

ID biuletynu

Data publikacji

Priorytet

APSB21-51

13 lipca 2021 r.

2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.

 

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

2021.005.20054 i wcześniejsze wersje          

Windows i macOS

Acrobat Reader DC

Continuous 

2021.005.20054 i wcześniejsze wersje          

Windows i macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30005 i wcześniejsze wersje

Windows i macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30005 i wcześniejsze wersje

Windows i macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30197 i wcześniejsze wersje          

Windows i macOS

Acrobat Reader 2017

Classic 2017

2017.011.30197 i wcześniejsze wersje          

Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

2021.005.20058       

Windows i macOS

2

Acrobat Reader DC

Continuous

2021.005.20058  

Windows i macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 

Windows i macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006 

Windows i macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 

Windows i macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows i macOS

2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Podstawowy wynik CVSS 
Wektor CVSS
Numer CVE

Odczyt poza zakresem 

(CWE-125

Wyciek pamięci Istotna
3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Przeglądanie ścieżek

(CWE-22)

Wykonanie dowolnego kodu
Krytyczna
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu 
Krytyczna
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Błędne rozpoznanie typu

(CWE-843)

Wykonanie dowolnego kodu 
Krytyczna
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu 
Krytyczna
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Zapis poza zakresem

(CWE-787)

Zapisanie dowolnych danych w systemie plików
Krytyczna
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Odczyt poza zakresem

(CWE-125)

Wyciek pamięci
Krytyczna
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Błędne rozpoznanie typu

(CWE-843)

Odczytanie dowolnych danych w systemie plików
Istotna
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Przepełnienie buforu sterty

(CWE-122)

Wykonanie dowolnego kodu 
Krytyczna
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

Wyłuskanie wskaźnika o wartości NULL

(CWE-476)

Odmowa usługi aplikacji
Istotna
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Element ścieżki przeszukiwania niekontrolowanego

(CWE-427)

Wykonanie dowolnego kodu 
Krytyczna
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Wprowadzanie poleceń systemowych

(CWE-78)

Wykonanie dowolnego kodu 
Krytyczna
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu 
Krytyczna
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

  • Nipun Gupta, Ashfaq Ansari i Krishnakant Patil (CloudFuzz) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-35983) 
  • Xu Peng z firmy UCAS i Wang Yanhao z firmy QiAnXin Technology Research Institute współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-35981, CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) z Trend Micro Security Research współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • Xu Peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Wersje

14 lipca 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-28640.

15 lipca 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-35981.

29 lipca 2021 r.: Zaktualizowano podstawowy wynik CVSS i wektor CVSS dla luk CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 lipca 2021 r.: Zaktualizowano wpływ, ważność, podstawowy wynik CVSS oraz wektor CVSS dla luk CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644.



 

 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online