Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB22-01

ID do boletim

Data de publicação

Prioridade

APSB22-01

11 de janeiro de 2022

2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações corrigem múltiplas vulnerabilidades críticasimportantes e moderadas. Uma exploração bem-sucedida poderia levar à execução do código arbitrária, vazamento de memória, negação de serviço da aplicação, desvio do recurso de segurança  e escalonamento de privilégios. 

Versões afetadas

Produto

Track

Versões afetadas

Plataforma

Acrobat DC 

Continuous 

21.007.20099 e versões anteriores

Windows

Acrobat Reader DC

Continuous 


21.007.20099 e versões anteriores
 

Windows

Acrobat DC 

Continuous 

21.007.20099 e versões anteriores
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 e versões anteriores
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 e versões anteriores  

Windows e macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 e versões anteriores 

Windows e macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  e versões anteriores          

Windows e macOS

Acrobat Reader 2017

Classic 2017

17.011.30204 e versões anteriores        
  

Windows e macOS

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC

Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.    

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:    

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.     

  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.      

  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.     

Para administradores de TI (ambientes gerenciados):     

  • Consulte a versão específica da nota de versão para links para instaladores.     

  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM para o Windows ou, no macOS, Apple Remote Desktop e SSH.     

   

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda aos usuários que atualizem as suas instalações para a versão mais recente:    

Produto

Track

Versões atualizadas

Plataforma

Classificação de prioridade

Disponibilidade

Acrobat DC

Continuous

21.011.20039

Windows e macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows e macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows e macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows e macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows e macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows e macOS

2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS Vetor CVSS Número CVE
Usar após período gratuito (CWE-416) Execução de código arbitrária  Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Exposição de Informações (CWE-200)
Escalonamento de privilégio Moderado 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Transbordamento de dados baseado em pilha (CWE-121) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Usar após período gratuito (CWE-416) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Acesso ao Ponteiro não-inicializado (CWE-824) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Usar após período gratuito (CWE-416) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Escrita fora dos limites (CWE-787) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Estouro de buffer baseado em heap (CWE-122) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Estouro de buffer baseado em heap (CWE-122) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Usar após período gratuito (CWE-416) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Estouro ou wraparound de inteiro(CWE-190) Execução de código arbitrária Crítico 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Validação de entrada inadequada (CWE-20) Negação de serviço de aplicativo Importante 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Usar após período gratuito (CWE-416) Negação de serviço de aplicativo Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Violação de princípios de design seguro (CWE-657) Falha de recurso de segurança Moderado 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Out-of-bounds Read (CWE-125) Falha de memória Moderado 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Exposição de informações (CWE-200)
Escalonamento de privilégio
Moderado 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Desreferência de ponteiro NULA (CWE-476) Negação de serviço de aplicativo Moderado 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Desreferência de ponteiro NULA (CWE-476) Negação de serviço de aplicativo Moderado 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Out-of-bounds Read (CWE-125) Falha de memória Moderado 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Out-of-bounds Read (CWE-125) Execução de código arbitrária Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Escrita fora dos limites (CWE-787) Execução de código arbitrária Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Usar após período gratuito (CWE-416) Execução de código arbitrária Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Usar após período gratuito (CWE-416) Escalonamento de privilégio Moderado 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Usar após período gratuito (CWE-416) Execução de código arbitrária Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Acesso ao local da memória após o fim do buffer (CWE-788) Falha de memória Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Escrita fora dos limites (CWE-787) Execução de código arbitrária Crítico 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • Ashfaq Ansari e Krishnakant Patil - HackSys Inc. - HackSys Inc que trabalha com a Zero Day Initiative da Trend Micro (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu do Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU via TianfuCup (CVE-2021-44704)
  • StakLeader via TianfuCup (CVE-2021-44705)
  • bee13oy do Kunlun Lab via TianfuCup (CVE-2021-44706)
  • Instituto de Pesquisa de Vulnerabilidade Juvenil Via TianfuCup (CVE-2021-44707)
  • Jaewon Min e Aleksandar Nikolic de Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) e Steven Seeley do Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain of Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anônimo que trabalha com a Zero Day Initiative da Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Revisões:

12 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-44706

13 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-45064, detalhes atualizados para CVE-2021-44702 e CVE-2021-44739

17 de janeiro de 2022: Reconhecimento atualizado para CVE-2021-44706

 


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?