Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB21-55

ID biuletynu

Data publikacji

Priorytet

APSB21-55

14 września 2021 r.

2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą wielu krytycznychistotnych oraz średnich luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.  

 

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

2021.005.20060 i wcześniejsze wersje          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 i wcześniejsze wersje          

Windows

Acrobat DC 

Continuous 

2021.005.20058 i wcześniejsze wersje          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 i wcześniejsze wersje          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 i starsze wersje

Windows i macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 i starsze wersje

Windows i macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  i wcześniejsze wersje          

Windows i macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  i wcześniejsze wersje          

Windows i macOS

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

2021.007.20091 

Windows i macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows i macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows i macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows i macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows i macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows i macOS

2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Podstawowy wynik CVSS 
Wektor CVSS
Numer CVE

Błędne rozpoznanie typu (CWE-843)

Wykonanie dowolnego kodu

Krytyczna 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Przepełnienie buforu sterty

(CWE-122)

Wykonanie dowolnego kodu

Krytyczna  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Ekspozycja informacji

(CWE-200)

Odczytanie dowolnych danych w systemie plików

Umiarkowana

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Odczyt poza zakresem

(CWE-125)

Wyciek pamięci

Krytyczna   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Odczyt poza zakresem

(CWE-125)

Wyciek pamięci

Istotna

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Odczyt poza zakresem

(CWE-125)

Odczytanie dowolnych danych w systemie plików

Umiarkowana

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Zapis poza zakresem

(CWE-787)

Wyciek pamięci

Krytyczna 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Przepełnienie buforu stosu 

(CWE-121)

Wykonanie dowolnego kodu

Krytyczna   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Element ścieżki przeszukiwania niekontrolowanego

(CWE-427)

Wykonanie dowolnego kodu

Istotna 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu

Istotna

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu

Krytyczna 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Wyłuskanie wskaźnika o wartości NULL (CWE-476)

Wyciek pamięci

Istotna

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Wyłuskanie wskaźnika o wartości NULL (CWE-476)

Odmowa usługi aplikacji

Istotna  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Wyłuskanie wskaźnika o wartości NULL (CWE-476)

Odmowa usługi aplikacji

Istotna

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Wyłuskanie wskaźnika o wartości NULL (CWE-476)

Odmowa usługi aplikacji

Istotna  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu
Krytyczna   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Użycie pamięci po zwolnieniu (Use After Free)

(CWE-416)

Wykonanie dowolnego kodu
Krytyczna   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

  • Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng z UCAS i Ying Lingyun z QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Assets (exodusintel.com) i Andrei Stefan (CVE-2021-39863)
  • Qiao Li z firmy Baidu Security Lab współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-39858)

Wersje

20 września 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-35982.

28 września 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-39863.

5 października 2021 r.: zaktualizowano podstawowy wynik CVSS, wektor CVSS i wagę błędu dla CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Dodano dane i podziękowania dla problemów CVE-2021-40725 i CVE-2021-40726.

18 stycznia 2022 r.: zaktualizowano szczegóły podziękowań dotyczące problemów: CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online