ID biuletynu
Ostatnia aktualizacja
26 sty 2022
Dostępna aktualizacja zabezpieczeń programów Adobe Acrobat i Reader | APSB21-55
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB21-55 |
14 września 2021 r. |
2 |
Podsumowanie
Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą wielu krytycznych, istotnych oraz średnich luk w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.
Zagrożone wersje
|
Ścieżka |
Zagrożone wersje |
Platforma |
|
|
Acrobat DC |
Continuous |
2021.005.20060 i wcześniejsze wersje |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 i wcześniejsze wersje |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 i wcześniejsze wersje |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 i wcześniejsze wersje |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 i starsze wersje |
Windows i macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 i starsze wersje |
Windows i macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 i wcześniejsze wersje |
Windows i macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 i wcześniejsze wersje |
Windows i macOS |
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:
Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.
Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.
Dla administratorów z działu IT (środowiska zarządzane):
Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.
Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Ścieżka |
Zaktualizowane wersje |
Platforma |
Ocena priorytetu |
Dostępność |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows i macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows i macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows i macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows i macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows i macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows i macOS |
2 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Podstawowy wynik CVSS |
Wektor CVSS |
Numer CVE |
|---|---|---|---|---|---|
Błędne rozpoznanie typu (CWE-843) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Przepełnienie buforu sterty (CWE-122) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Ekspozycja informacji (CWE-200) |
Odczytanie dowolnych danych w systemie plików |
Umiarkowana |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Krytyczna |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Odczyt poza zakresem (CWE-125) |
Wyciek pamięci |
Istotna |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Odczyt poza zakresem (CWE-125) |
Odczytanie dowolnych danych w systemie plików |
Umiarkowana |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Zapis poza zakresem (CWE-787) |
Wyciek pamięci |
Krytyczna |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Przepełnienie buforu stosu (CWE-121) |
Wykonanie dowolnego kodu |
Krytyczna |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Element ścieżki przeszukiwania niekontrolowanego (CWE-427) |
Wykonanie dowolnego kodu |
Istotna |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Istotna |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Wyciek pamięci |
Istotna |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Użycie pamięci po zwolnieniu (Use After Free) (CWE-416) |
Wykonanie dowolnego kodu |
Krytyczna |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Mark Vincent Yason (@MarkYason) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng z UCAS i Ying Lingyun z QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Assets (exodusintel.com) i Andrei Stefan (CVE-2021-39863)
- Qiao Li z firmy Baidu Security Lab współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-39858)
Wersje
20 września 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-35982.
28 września 2021 r.: Zaktualizowano szczegóły potwierdzenia dotyczącego numeru CVE-2021-39863.
5 października 2021 r.: zaktualizowano podstawowy wynik CVSS, wektor CVSS i wagę błędu dla CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Dodano dane i podziękowania dla problemów CVE-2021-40725 i CVE-2021-40726.
18 stycznia 2022 r.: zaktualizowano szczegóły podziękowań dotyczące problemów: CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
