Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB21-09

ID do boletim

Data de publicação

Prioridade

APSB21-09

09 de fevereiro de 2021

1

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações abordam várias vulnerabilidades críticas e importantes. A exploração bem-sucedida pode levar à Execução de código arbitrária no contexto do usuário atual.       

A Adobe recebeu um relatório informando que o CVE-2021-21017 foi explorado em ataques limitados direcionados a usuários do Adobe Reader no Windows.

Versões afetadas

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

2020.013.20074 e versões anteriores          

Windows e macOS

Acrobat Reader DC

Continuous 

2020.013.20074 e versões anteriores          

Windows e macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 e versões anteriores

Windows e macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 e versões anteriores

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 e versões anteriores          

Windows e macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 e versões anteriores          

Windows e macOS

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

2021.001.20135       

Windows e macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows e macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows e macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows e macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows e macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows e macOS

1

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Excedente de buffer
Negação de serviço de aplicativo
Importante
CVE-2021-21046
Estouro de buffer baseado em heap
Execução de código arbitrária
Crítico
CVE-2021-21017
Travessia de caminho
Execução de código arbitrária
Crítico
CVE-2021-21037
Transbordamento inteiro
Execução de código arbitrária
Crítico
CVE-2021-21036
Controle de acesso impróprio
Escalonamento de privilégio
Crítico
CVE-2021-21045
Out-of-bounds Read
Escalonamento de privilégio
Importante

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Uso posterior gratuito
Divulgação de informações
Importante
CVE-2021-21061
Out-of-bounds Write
Execução de código arbitrária
Crítico

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Excedente de buffer
Execução de código arbitrária
Crítico

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Desreferência de ponteiro NULA
Divulgação de informações
Importante
CVE-2021-21057
Validação de entrada inadequada
Divulgação de informações
Importante
CVE-2021-21060
Uso após período gratuito
Execução de código arbitrária
Crítico

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Suporte ausente para verificação de integridade 
Falha de recurso de segurança Importante

CVE-2021-28545

CVE-2021-28546

Agradecimentos

A Adobe gostaria de agradecer aos seguintes por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes. 

  • Relatado anonimamente (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari e Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng da UCAS e Wang Yanhao do Instituto de Pesquisas Tecnológicas QiAnXin trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21037)
  • Will Dormann do CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (Shellway) (CVE-2021-21046)
  • 胖 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21040)
  • 360政企安全漏洞研究院 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21038)
  • CodeMaster na Tianfu Cup de 2020, Concurso Internacional de Segurança Cibernética (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu da Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu da Palo Alto Networks, Heige (também conhecido por SuperHei) da Equipe da Knwonsec 404 (CVE-2021-21059)
  • Ken Hsu, Bo Qu da Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang da Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk do Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka e Jörg Schwenk, Presidente em matéria de segurança das redes e dos dados, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisões

10 de fevereiro de 2021: Notificações atualizadas para os CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 de março de 2021: Notificação atualizada para os CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 de março de 2021: Detalhes adicionados para os CVE-2021-21086, CVE-2021-21088 e CVE-2021-21089.

26 de março de 2021: Detalhes adicionados para os CVE-2021-28545 e CVE-2021-28546.

29 de setembro de 2021: detalhes adicionados para CVE-2021-40723





 

 

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?