Buletin de securitate Adobe

Actualizare de securitate disponibilă pentru Adobe Acrobat și Reader  | APSB22-01

ID buletin

Data publicării

Prioritatea

APSB22-01

11 ianuarie 2022

2

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Acrobat și Reader pentru Windows și macOS. Aceste actualizări tratează   mai multe vulnerabilități criticeimportante și moderate. O exploatare reușită ar putea duce la executare de cod arbitrară, scurgerea de memorie, refuzul serviciilor în aplicație,  ocolirea caracteristicii de securitate și escaladarea privilegiilor. 

Versiunile afectate

Produs

Urmărire

Versiunile afectate

Platformă

Acrobat DC 

Continuous 

21.007.20099 și versiunile anterioare

Windows

Acrobat Reader DC

Continuous 


21.007.20099 și versiunile anterioare
 

Windows

Acrobat DC 

Continuous 

21.007.20099 și versiunile anterioare
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 și versiunile anterioare
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 și versiunile anterioare  

Windows și macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 și versiunile anterioare 

Windows și macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  și versiunile anterioare          

Windows și macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  și versiunile anterioare        
  

Windows și macOS

Pentru întrebări referitoare la Acrobat DC, vizitați pagina Întrebări frecvente despre Acrobat DC

Pentru întrebări referitoare la Acrobat Reader DC, vizitați pagina Întrebări frecvente despre Acrobat Reader DC.

Soluție

Adobe le recomandă utilizatorilor să își actualizeze instalările de software la cele mai recente versiuni, urmând instrucțiunile de mai jos.    

Cele mai recente versiuni ale produselor sunt disponibile pentru utilizatorii finali prin una dintre următoarele metode:    

  • Utilizatorii pot actualiza instalările produselor manual, selectând Asistență > Căutare actualizări.     

  • Produsele se vor actualiza automat, fără a necesita intervenția utilizatorului, atunci când sunt detectate actualizări.      

  • Programul de instalare complet Acrobat Reader poate fi descărcat de la Centrul de descărcări Acrobat Reader.     

Pentru administratorii IT (medii gestionate):     

  • Consultați versiunea specifică a notelor de lansare pentru linkuri către programele de instalare.

  • Instalați actualizările prin metoda preferată, cum ar fi AIP-GPO, bootstrapper, SCUP/SCCM (Windows) sau, pe macOS, Apple Remote Desktop și SSH.  

   

Adobe acordă acestor actualizări următoarele evaluări ale priorității și le recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:    

Produs

Urmărire

Versiuni actualizate

Platformă

Evaluare a priorității

Disponibilitate

Acrobat DC

Continuous

21.011.20039

Windows și macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows și macOS

2

Note de lansare     

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows și macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows și macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows și macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows și macOS

2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Scor de bază CVSS Vector CVSS Număr CVE
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară  Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Expunere la informații (CWE-200)
Escaladarea privilegiilor Moderată 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Depășire tampon bazată pe stivă (CWE-121) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Accesarea unui pointer neinițializat (CWE-824) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Scriere în afara limitelor (CWE-787) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Depășire tampon bazată pe stivă (CWE-122) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Depășire tampon bazată pe stivă (CWE-122) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Încadrare sau depășire întreg (CWE-190) Executare de cod arbitrară Critică 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Validare neadecvată a intrării (CWE-20) Refuz de serviciu pentru aplicație Importantă 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Utilizare dupa dealocare (CWE-416) Refuz de serviciu pentru aplicație Importantă 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Încălcarea principiilor de proiectare sigură (CWE-657) Ocolirea caracteristicii de securitate Moderată 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Citire în afara limitelor (CWE-125) Scurgere de memorie Moderată 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Expunere la informații (CWE-200)
Escaladarea privilegiilor
Moderată 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Dereferire de pointer NULL (CWE-476) Refuz de serviciu pentru aplicație Moderată 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Dereferire de pointer NULL (CWE-476) Refuz de serviciu pentru aplicație Moderată 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Citire în afara limitelor (CWE-125) Scurgere de memorie Moderată 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Citire în afara limitelor (CWE-125) Executare de cod arbitrară Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Scriere în afara limitelor (CWE-787) Executare de cod arbitrară Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Utilizare dupa dealocare (CWE-416) Escaladarea privilegiilor Moderată 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Utilizare dupa dealocare (CWE-416) Executare de cod arbitrară Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Accesarea locației de memorie după terminarea zonei tampon (CWE-788) Scurgere de memorie Importantă 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Scriere în afara limitelor (CWE-787) Executare de cod arbitrară Critică 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Mențiuni

Adobe dorește să le mulțumească următorilor pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Ashfaq Ansari și Krishnakant Patil - HackSys Inc în colaborare cu inițiativa Zero Day de la Trend Micro (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu de la Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU prin TianfuCup (CVE-2021-44704)
  • StakLeader prin TianfuCup (CVE-2021-44705)
  • bee13oy de la Kunlun Lab prin intermediul TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile prin TianfuCup (CVE-2021-44707)
  • Jaewon Min și Aleksandar Nikolic de la Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) și Steven Seeley de la Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain de la Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anonim lucrând pentru inițiativa Zero Day de la Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Revizii:

12 ianuarie 2022: mențiune actualizată pentru CVE-2021-44706

13 ianuarie 2022: mențiune actualizată pentru CVE-2021-45064, detalii CVE actualizate pentru CVE-2021-44702 și CVE-2021-44739

17 ianuarie 2022: mențiune actualizată pentru CVE-2021-44706

 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?