Buletin de securitate Adobe

Adobe a lansat actualizări de securitate pentru Adobe Acrobat și Reader pentru Windows și macOS. Aceste actualizări tratează mai multe vulnerabilități critice și importante. O exploatare reușită ar putea duce la executare de cod arbitrară în contextul utilizatorului curent.       

Adobe a primit un raport privind exploatarea CVE-2021-21017 necontrolată, constând în atacuri limitate ce țintesc utilizatorii Adobe Reader pe Windows.

Versiunile afectate

Soluție

Adobe le recomandă utilizatorilor să își actualizeze instalările de software la cele mai recente versiuni, urmând instrucțiunile de mai jos.    

Cele mai recente versiuni ale produselor sunt disponibile pentru utilizatorii finali prin una dintre următoarele metode:    

• Utilizatorii pot actualiza instalările produselor manual, selectând Asistență > Căutare actualizări.     

• Produsele se vor actualiza automat, fără a necesita intervenția utilizatorului, atunci când sunt detectate actualizări.      

• Programul de instalare complet Acrobat Reader poate fi descărcat de la Centrul de descărcări Acrobat Reader.     

Pentru administratorii IT (medii gestionate):     

• Consultați versiunea specifică a notelor de lansare pentru linkuri către programele de instalare.

• Instalați actualizările prin metoda preferată, cum ar fi AIP-GPO, bootstrapper, SCUP/SCCM (Windows) sau, pe macOS, Apple Remote Desktop și SSH.  

Adobe acordă acestor actualizări următoarele evaluări ale priorității și le recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:    

Detalii privind vulnerabilitatea

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri. 

• Raportat anonim (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari, and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng de la UCAS și Wang Yanhao de la QiAnXin Technology Research Institute, în colaborare cu Inițiativa Zero Day de la Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2020 (CVE-2021-21037)
• Will Dormann de la CERT/CC (-2021, -21045-, CVE)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21040)
• 360政企安全漏洞研究院 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21038)
• CodeMaster de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu de la Palo Alto Networks (CVE-2021-21058)
• Ken Hsu de la Palo Alto Networks, Heige (a.k.a. SuperHei) din echipa 404 de la Knwonsec (CVE-2021-21059)
• Ken Hsu, Bo Qu de la Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang de la Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk de la Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka și Jörg Schwenk, catedra Securitatea rețelelor și datelor, Universitatea Ruhr din Bochum (CVE-2021-28545, CVE-2021-28546)

Revizii

10 februarie 2021: Mulțumiri actualizate pentru CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 martie 2021: S-au actualizat mențiunile pentru CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 martie 2021: S-au adăugat detaliile pentru CVE-2021-21086, CVE-2021-21088 și CVE-2021-21089.

26 martie 2021: s-au adăugat detaliile pentru CVE-2021-28545 and CVE-2021-28546.

29 septembrie 2021: S-au inclus detalii pentru CVE-2021-40723