Buletin de securitate Adobe

Actualizare de securitate disponibilă pentru Adobe Acrobat și Reader | APSB21-09

ID buletin

Data publicării

Prioritatea

APSB21-09

09 februarie 2021

1

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Acrobat și Reader pentru Windows și macOS. Aceste actualizări tratează mai multe vulnerabilități critice și importante. O exploatare reușită ar putea duce la executare de cod arbitrară în contextul utilizatorului curent.       

Adobe a primit un raport privind exploatarea CVE-2021-21017 necontrolată, constând în atacuri limitate ce țintesc utilizatorii Adobe Reader pe Windows.

Versiunile afectate

Produs

Urmărire

Versiunile afectate

Platformă

Acrobat DC 

Continuous 

2020.013.20074 și versiunile anterioare          

Windows și macOS

Acrobat Reader DC

Continuous 

2020.013.20074 și versiunile anterioare          

Windows și macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 și versiunile anterioare

Windows și macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 și versiunile anterioare

Windows și macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 și versiunile anterioare          

Windows și macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 și versiunile anterioare          

Windows și macOS

Soluție

Adobe le recomandă utilizatorilor să își actualizeze instalările de software la cele mai recente versiuni, urmând instrucțiunile de mai jos.    

Cele mai recente versiuni ale produselor sunt disponibile pentru utilizatorii finali prin una dintre următoarele metode:    

  • Utilizatorii pot actualiza instalările produselor manual, selectând Asistență > Căutare actualizări.     

  • Produsele se vor actualiza automat, fără a necesita intervenția utilizatorului, atunci când sunt detectate actualizări.      

  • Programul de instalare complet Acrobat Reader poate fi descărcat de la Centrul de descărcări Acrobat Reader.     

Pentru administratorii IT (medii gestionate):     

  • Consultați versiunea specifică a notelor de lansare pentru linkuri către programele de instalare.

  • Instalați actualizările prin metoda preferată, cum ar fi AIP-GPO, bootstrapper, SCUP/SCCM (Windows) sau, pe macOS, Apple Remote Desktop și SSH.  

   

Adobe acordă acestor actualizări următoarele evaluări ale priorității și le recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:    

Produs

Urmărire

Versiuni actualizate

Platformă

Evaluare a priorității

Disponibilitate

Acrobat DC

Continuous

2021.001.20135       

Windows și macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows și macOS

1

Note de lansare     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows și macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows și macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows și macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows și macOS

1

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Număr CVE
Depășirea memoriei tampon
Refuz de serviciu pentru aplicație
Importantă
CVE-2021-21046
Depășirea memoriei tampon bazată pe heap
Executare de cod arbitrară
Critică
CVE-2021-21017
Traversare de cale
Executare de cod arbitrară
Critică
CVE-2021-21037
Depășire a valorilor întregi
Executare de cod arbitrară
Critică
CVE-2021-21036
Control inadecvat al accesului
Escaladarea privilegiilor
Critică
CVE-2021-21045
Citire în afara limitelor
Escaladarea privilegiilor
Importantă

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Utilizare după dealocare
Divulgarea informațiilor
Importantă
CVE-2021-21061
Scriere în afara limitelor
Executare de cod arbitrară
Critică

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Depășirea memoriei tampon
Executare de cod arbitrară
Critică

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Dereferențierea pointerilor NULL
Divulgarea informațiilor
Importantă
CVE-2021-21057
Validare incorectă a intrării
Divulgarea informațiilor
Importantă
CVE-2021-21060
Utilizare după dealocare
Executare de cod arbitrară
Critică

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Lipsește suportul pentru verificarea integrității 
Ocolirea caracteristicii de securitate Importantă

CVE-2021-28545

CVE-2021-28546

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri. 

  • Raportat anonim (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari, and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng de la UCAS și Wang Yanhao de la QiAnXin Technology Research Institute, în colaborare cu Inițiativa Zero Day de la Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2020 (CVE-2021-21037)
  • Will Dormann de la CERT/CC (-2021, -21045-, CVE)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21040)
  • 360政企安全漏洞研究院 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21038)
  • CodeMaster de la Concursul Internațional de Cibersecuritate Cupa Tianfu 2021 (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu de la Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu de la Palo Alto Networks, Heige (a.k.a. SuperHei) din echipa 404 de la Knwonsec (CVE-2021-21059)
  • Ken Hsu, Bo Qu de la Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang de la Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk de la Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka și Jörg Schwenk, catedra Securitatea rețelelor și datelor, Universitatea Ruhr din Bochum (CVE-2021-28545, CVE-2021-28546)

Revizii

10 februarie 2021: Mulțumiri actualizate pentru CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 martie 2021: S-au actualizat mențiunile pentru CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 martie 2021: S-au adăugat detaliile pentru CVE-2021-21086, CVE-2021-21088 și CVE-2021-21089.

26 martie 2021: s-au adăugat detaliile pentru CVE-2021-28545 and CVE-2021-28546.

29 septembrie 2021: S-au inclus detalii pentru CVE-2021-40723





 

 

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online