ID biuletynu
Dostępne aktualizacje zabezpieczeń programu Adobe Premiere Rush | APSB21-101
Uwaga
Wraz z wprowadzeniem nowej generacji mobilnych aplikacji Adobe Premiere, kończymy wsparcie dla produktu Adobe Premiere Rush.Od 30 września 2025 r. produkt Premiere Rush nie będzie już dostępny na Adobe.com.Jako alternatywę polecamy Premiere na iPhone; wersja dla systemu android jest obecnie również w fazie rozwoju.Więcej informacji można znaleźć w Częstych pytaniach dotyczących zakończenia wsparcia dla produktu Premiere Rush.
|
Data publikacji |
Priorytet |
---|---|---|
APSB21-101 |
14 grudnia 2021 r. |
3 |
Podsumowanie
Firma Adobe udostępniła aktualizacje programu Adobe Premiere Rush do systemów Windows i macOS. Ta aktualizacja usuwa krytyczne i istotne luki w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu, odmowy usługi aplikacji oraz eskalacji uprawnień w kontekście bieżącego użytkownika.
Zagrożone wersje
Produkt |
Wersja |
Platforma |
---|---|---|
Adobe Premiere Rush |
1.5.16 i wcześniejsze wersje |
Windows |
Rozwiązanie
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji za pośrednictwem mechanizmu aktualizacji dostępnego w aplikacji Creative Cloud na komputery. Więcej informacji znajduje się na tej stronie pomocy.
Produkt |
Wersja |
Platforma |
Ocena priorytetu |
Dostępność |
---|---|---|---|---|
Adobe Premiere Rush |
2.0 |
Windows i macOS |
3 |
W przypadku środowisk zarządzanych administratorzy IT mogą skorzystać z serwisu Admin Console w celu wdrożenia aplikacji Creative Cloud dla użytkowników końcowych. Więcej informacji znajduje się na tej stronie pomocy.
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Numery CVE |
---|---|---|---|
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-40783 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-40784 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43021 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43022 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43023 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43024 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43025 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43026 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43028 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43029 |
Dostęp do niezainicjowanego wskaźnika (CWE-824) |
Eskalacja uprawnień |
Istotna |
CVE-2021-43030 |
Dostęp do niezainicjowanego wskaźnika (CWE-824) |
Wyciek pamięci |
Istotna |
CVE-2021-43746 |
Dostęp do lokalizacji pamięci po końcu buforu (CWE-788) |
Wykonanie dowolnego kodu |
Krytyczna |
CVE-2021-43747 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
CVE-2021-43748 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
CVE-2021-43749 |
Wyłuskanie wskaźnika o wartości NULL (CWE-476) |
Odmowa usługi aplikacji |
Istotna |
CVE-2021-43750 |
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
(hy350) HY350 z firmy Topsec Alpha Team - CVE-2021-43750, CVE-2021-43749, CVE-2021-43748,
(yjdfy) CQY z firmy Topsec Alpha Team — CVE-2021-43747, CVE-2021-43029, CVE-2021-43028, CVE-2021-43026, CVE-2021-43025, CVE-2021-43023, CVE-2021-43022, CVE-2021-43021,
- (cff_123) CFF z Topsec Alpha Team — CVE-2021-43024, CVE-2021-40784, CVE-2021-40783
- Mat Powell współpracujący w ramach programu Zero Day Initiative firmy Trend Micro – CVE-2021-43746, CVE-2021-43030