Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB21-55

ID do boletim

Data de publicação

Prioridade

APSB21-55

14 de setembro de 2021

2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem múltiplas vulnerabilidades críticasimportantes e moderadas. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.  

 

Versões afetadas

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

2021.005.20060 e versões anteriores          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 e versões anteriores          

Windows

Acrobat DC 

Continuous 

2021.005.20058 e versões anteriores          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 e versões anteriores          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 e versões anteriores

Windows e macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 e versões anteriores

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  e versões anteriores          

Windows e macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  e versões anteriores          

Windows e macOS

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

2021.007.20091 

Windows e macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows e macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows e macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows e macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows e macOS

2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS 
Vetor CVSS
Número CVE

Type Confusion (CWE-843)

Execução de código arbitrária

Crítico 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Estouro de buffer baseado em heap

(CWE-122)

Execução de código arbitrária

Crítico  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Exposição de informações

(CWE-200)

Leitura arbitrária do sistema de arquivos

Moderado

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Out-of-bounds Read

(CWE-125)

Falha de memória

Crítico  

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Out-of-bounds Read

(CWE-125)

Falha de memória

Importante

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Out-of-bounds Read

(CWE-125)

Leitura arbitrária do sistema de arquivos

Moderado

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Out-of-bounds Write

(CWE-787)

Falha de memória

Crítico 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Transbordamento de dados baseado em pilha 

(CWE-121)

Execução de código arbitrária

Crítico  

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Elemento de caminho de pesquisa não controlado

(CWE-427)

Execução de código arbitrária

Importante 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Uso após período gratuito

(CWE-416)

Execução de código arbitrária

Importante

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Uso após período gratuito

(CWE-416)

Execução de código arbitrária

Crítico 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Desreferência de ponteiro NULA (CWE-476)

Falha de memória

Importante

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Desreferência de ponteiro NULA (CWE-476)

Negação de serviço de aplicativo

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Desreferência de ponteiro NULA (CWE-476)

Negação de serviço de aplicativo

Importante

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Desreferência de ponteiro NULA (CWE-476)

Negação de serviço de aplicativo

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Uso após período gratuito

(CWE-416)

Execução de código arbitrário
Crítico   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Uso após período gratuito

(CWE-416)

Execução de código arbitrário
Crítico   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Agradecimentos

A Adobe gostaria de agradecer aos seguintes por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Mark Vincent Yason (@MarkYason) trabalhando com a Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>)(CVE-2021-35982)
  • XuPeng da UCAS e Ying Lingyun do Instituto de Pesquisa Tecnológica QI-ANXIN (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Informações sobre o êxodo (exodutos.com) e Andrei Stefan (CVE-2021-39863)
  • Qiao Li da Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-39858)

Revisões

20 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-35982.

28 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-39863..

5 de outubro de 2021: Atualização da pontuação base CVSS, vetor CVSS e Severidade para CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Acrescentou dados e agradecimentos para CVE-2021-40725 e CVE-2021-40726.

18 de janeiro de 2022: Detalhes de reconhecimento atualizados para CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?