Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader  | APSB22-01

ID biuletynu

Data publikacji

Priorytet

APSB22-01

11 stycznia 2022

2

Podsumowanie

Firma Adobe udostępniła aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader do systemów Windows i macOS. Te aktualizacje dotyczą   wielu krytycznychważnych i umiarkowanie ważnych luk w zabezpieczeniach. Udane wykorzystanie tych luk mogłoby doprowadzić do wykonania dowolnego kodu, przecieku pamięci, odmowy świadczenia usługi ,  ominięcia funkcji zabezpieczeń i eskalacji uprawnień. 

Zagrożone wersje

Produkt

Ścieżka

Zagrożone wersje

Platforma

Acrobat DC 

Continuous 

21.007.20099 i wcześniejsze wersje

Windows

Acrobat Reader DC

Continuous 


21.007.20099 i wcześniejsze wersje
 

Windows

Acrobat DC 

Continuous 

21.007.20099 i wcześniejsze wersje
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 i wcześniejsze wersje
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 i wcześniejsze wersje  

Windows i macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 i wcześniejsze wersje 

Windows i macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  i wcześniejsze wersje          

Windows i macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  i wcześniejsze wersje        
  

Windows i macOS

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC

Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.    

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:    

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.     

  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika.     

  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.     

Dla administratorów z działu IT (środowiska zarządzane):     

  • Łącza do instalatorów można znaleźć w uwagach na temat wybranej wersji.

  • Zainstaluj aktualizacje, korzystając z preferowanej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows bądź Apple Remote Desktop i SSH w systemie macOS.    

   

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:    

Produkt

Ścieżka

Zaktualizowane wersje

Platforma

Ocena priorytetu

Dostępność

Acrobat DC

Continuous

21.011.20039

Windows i macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows i macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows i macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows i macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows i macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows i macOS

2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Podstawowy wynik CVSS Wektor CVSS Numer CVE
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu  Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Ujawnienie informacji (CWE-200)
Eskalacja uprawnień Umiarkowanie ważna 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Przepełnienie bufora na stosie (CWE-121) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Dostęp do niezainicjowanego wskaźnika (CWE-824) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Zapis poza zakresem (CWE-787) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Przepełnienie bufora sterty (CWE-122) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Przepełnienie bufora sterty (CWE-122) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Przekroczenie zakresu liczb całkowitych lub błąd typu „wraparound” (CWE-190) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Nieprawidłowa walidacja danych wejściowych (CWE-20) Odmowa usługi aplikacji Istotna 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Użycie pamięci po zwolnieniu (CWE-416) Odmowa usługi aplikacji Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Naruszenie zasad bezpiecznego projektowania (CWE-657) Obejście funkcji bezpieczeństwa Średnia 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Odczyt poza zakresem (CWE-125) Wyciek pamięci Umiarkowana 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Ujawnienie informacji (CWE-200)
Eskalacja uprawnień
Umiarkowanie ważna 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Wyłuskanie wskaźnika o wartości NULL (CWE-476) Odmowa usługi aplikacji Umiarkowana 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Wyłuskanie wskaźnika o wartości NULL (CWE-476) Odmowa usługi aplikacji Umiarkowana 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Odczyt poza zakresem (CWE-125) Wyciek pamięci Umiarkowana 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Odczyt poza zakresem (CWE-125) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Zapis poza zakresem (CWE-787) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Użycie pamięci po zwolnieniu (CWE-416) Eskalacja uprawnień Umiarkowana 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Użycie pamięci po zwolnieniu (CWE-416) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) Wyciek pamięci Istotna 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Zapis poza zakresem (CWE-787) Wykonanie dowolnego kodu Krytyczna 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

  • Ashfaq Ansari i Krishnakant Patil (HackSys Inc) współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu z Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU poprzez TianfuCup (CVE-2021-44704)
  • StakLeader poprzez TianfuCup (CVE-2021-44705)
  • bee13oy z Kunlun Lab poprzez TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile poprzez TianfuCup (CVE-2021-44707)
  • Jaewon Min i Aleksandar Nikolic z Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) i Steven Seeley z Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain z Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anonimowa osoba współpracująca w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Wersje:

12 stycznia 2022 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-44706

13 stycznia 2022 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-45064, zaktualizowano szczegóły CVE dotyczące problemów CVE-2021-44702 i CVE-2021-44739

17 stycznia 2022 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-44706

 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Logo Adobe

Zaloguj się na swoje konto