ID do boletim
Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB21-55
|
Data de publicação |
Prioridade |
---|---|---|
APSB21-55 |
14 de setembro de 2021 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem múltiplas vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.
Versões afetadas
Track |
Versões afetadas |
Plataforma |
|
Acrobat DC |
Continuous |
2021.005.20060 e versões anteriores |
Windows |
Acrobat Reader DC |
Continuous |
2021.005.20060 e versões anteriores |
Windows |
Acrobat DC |
Continuous |
2021.005.20058 e versões anteriores |
macOS |
Acrobat Reader DC |
Continuous |
2021.005.20058 e versões anteriores |
macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 e versões anteriores |
Windows e macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 e versões anteriores |
Windows e macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 e versões anteriores |
Windows e macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 e versões anteriores |
Windows e macOS |
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:
Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.
Para administradores de TI (ambientes gerenciados):
Consulte a versão específica da nota de versão para links para instaladores.
Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:
Track |
Versões atualizadas |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows e macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows e macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows e macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows e macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows e macOS |
2 |
Detalhes da vulnerabilidade
Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS |
Vetor CVSS |
Número CVE |
---|---|---|---|---|---|
Type Confusion (CWE-843) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Estouro de buffer baseado em heap (CWE-122) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Exposição de informações (CWE-200) |
Leitura arbitrária do sistema de arquivos |
Moderado |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Out-of-bounds Read (CWE-125) |
Falha de memória |
Crítico |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Out-of-bounds Read (CWE-125) |
Falha de memória |
Importante |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Out-of-bounds Read (CWE-125) |
Leitura arbitrária do sistema de arquivos |
Moderado |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Out-of-bounds Write (CWE-787) |
Falha de memória |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Transbordamento de dados baseado em pilha (CWE-121) |
Execução de código arbitrária |
Crítico |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Elemento de caminho de pesquisa não controlado (CWE-427) |
Execução de código arbitrária |
Importante |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrária |
Importante |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrária |
Crítico |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Desreferência de ponteiro NULA (CWE-476) |
Falha de memória |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Desreferência de ponteiro NULA (CWE-476) |
Negação de serviço de aplicativo |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Desreferência de ponteiro NULA (CWE-476) |
Negação de serviço de aplicativo |
Importante |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Desreferência de ponteiro NULA (CWE-476) |
Negação de serviço de aplicativo |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Uso após período gratuito (CWE-416) |
Execução de código arbitrário |
Crítico |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:
- Mark Vincent Yason (@MarkYason) trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>)(CVE-2021-35982)
- XuPeng da UCAS e Ying Lingyun do Instituto de Pesquisa Tecnológica QI-ANXIN (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Informações sobre o êxodo (exodutos.com) e Andrei Stefan (CVE-2021-39863)
- Qiao Li da Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-39858)
Revisões
20 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-35982.
28 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-39863..
5 de outubro de 2021: Atualização da pontuação base CVSS, vetor CVSS e Severidade para CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Acrescentou dados e agradecimentos para CVE-2021-40725 e CVE-2021-40726.
18 de janeiro de 2022: Detalhes de reconhecimento atualizados para CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.