ID do boletim
Última atualização em
14/01/2022
Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB21-51
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB21-51 |
13 de julho de 2021 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações abordam várias vulnerabilidades críticas e importantes. A exploração bem-sucedida pode levar à execução de código arbitrária no contexto do usuário atual.
Versões afetadas
|
Track |
Versões afetadas |
Plataforma |
Priority rating |
|
|
Acrobat DC |
Continuous |
2021.005.20054 e versões anteriores |
Windows e macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 e versões anteriores |
Windows e macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 e versões anteriores |
Windows e macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 e versões anteriores |
Windows e macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 e versões anteriores |
Windows e macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 e versões anteriores |
Windows e macOS |
2 |
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
Consulte a versão específica da nota de versão para links para instaladores.
Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:
|
Track |
Versões atualizadas |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows e macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows e macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows e macOS |
2 |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS |
Vetor CVSS |
Número CVE |
|---|---|---|---|---|---|
Out-of-bounds Read (CWE-125) |
Falha de memória | Importante |
3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Travessia de caminho (CWE-22) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrária |
Crítico |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Confusão do tipo (CWE-843) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrária |
Crítico |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Out-of-bounds Write (CWE-787) |
Gravação arbitrária do sistema de arquivos |
Crítico |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Out-of-bounds Read (CWE-125) |
Falha de memória |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Confusão do tipo (CWE-843) |
Leitura arbitrária do sistema de arquivos |
Importante |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Estouro de buffer baseado em heap (CWE-122) |
Execução de código arbitrária |
Crítico |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Desreferência de ponteiro NULA (CWE-476) |
Negação de serviço de aplicativo |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Elemento de caminho de pesquisa não controlado (CWE-427) |
Execução de código arbitrária |
Crítico |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Injeção de comando do sistema operacional (CWE-78) |
Execução de código arbitrária |
Crítico |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:
- Nipun Gupta, Ashfaq Ansari e Krishnakant Patil – CloudFuzz trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-35983)
- Xu Peng da UCAS e Wang Yanhao do Instituto de Pesquisas Tecnológicas QiAnXin trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Anônimo trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) da Trend Micro Security Research trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Revisões
14 de julho de 2021: detalhes da confirmação atualizados para CVE-2021-28640.
15 de julho de 2021: detalhes da confirmação atualizados para CVE-2021-35981.
29 de julho de 2021: Atualização da pontuação base de CVSS e do vetor CVSS para CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 de julho de 2021: Atualização do impacto da vulnerabilidade, gravidade, pontuação base de CVSS e o vetor CVSS para CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
