ID biuletynu
Ostatnia aktualizacja
14 sty 2022
Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB21-51
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB21-51 |
13 lipca 2021 r. |
2 |
Podsumowanie
Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Aktualizacje te dotyczą krytycznych i ważnych luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.
Zagrożone wersje
|
Ścieżka |
Zagrożone wersje |
Platforma |
|
|
Acrobat DC |
Continuous |
2021.005.20054 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 i wcześniejsze wersje |
Windows i macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 i wcześniejsze wersje |
Windows i macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 i wcześniejsze wersje |
Windows i macOS |
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows i macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows i macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows i macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows i macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows i macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows i macOS |
2 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Podstawowy wynik CVSS |
Wektor CVSS |
Numer CVE |
|---|---|---|---|---|---|
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci | Istotna |
3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Przeglądanie ścieżek (CWE-22) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Błędne rozpoznanie typu (CWE-843) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Zapis poza zakresem (CWE-787) |
Zapisanie dowolnych danych w systemie plików |
Krytyczna |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Błędne rozpoznanie typu (CWE-843) |
Odczytanie dowolnych danych w systemie plików |
Istotna |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Przepełnienie buforu sterty (CWE-122) |
Wykonanie dowolnego kodu |
Krytyczna |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Element ścieżki przeszukiwania niekontrolowanego (CWE-427) |
Wykonanie dowolnego kodu |
Krytyczna |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Wprowadzanie poleceń systemowych (CWE-78) |
Wykonanie dowolnego kodu |
Krytyczna |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Nipun Gupta, Ashfaq Ansari i Krishnakant Patil (CloudFuzz) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-35983)
- Xu Peng z firmy UCAS i Wang Yanhao z firmy QiAnXin Technology Research Institute współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) z Trend Micro Security Research współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- Xu Peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Wersje
14 lipca 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-28640.
15 lipca 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-35981.
29 lipca 2021 r.: Zaktualizowano podstawowy wynik CVSS i wektor CVSS dla luk CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 lipca 2021 r.: Zaktualizowano wpływ, ważność, podstawowy wynik CVSS oraz wektor CVSS dla luk CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
