Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe XMP Toolkit SDK | APSB21-65

ID buletin

Data publicării

Prioritatea

APSB21-65

17 august 2021

3

Sumar

Adobe a lansat actualizări pentru XMP-Toolkit-SDK. Aceste actualizări tratează mai multe vulnerabilități critice și importante.O exploatare reușită ar putea duce la executarea de cod arbitrar în contextul utilizatorului curent.                              

Versiunile afectate

Produs

Versiune afectată

Platformă

Adobe XMP-Toolkit-SDK

2020.1 și versiunile anterioare    

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări ale priorității și le recomandă utilizatorilor să-și actualizeze produsul instalat la cea mai nouă versiune. 

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

Adobe XMP-Toolkit-SDK   

2021.07  

Toate 

3

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Număr CVE

Citire în afara limitelor

(CWE-125)

Citire arbitrară din sistemul de fișiere

Critică 

7.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVE-2021-36045

Accesarea locației de memorie după terminarea zonei tampon

(CWE-788)

Executare de cod arbitrară

Critică 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36046

CVE-2021-36052

Validare incorectă a intrării

(CWE-20)

Executare de cod arbitrară

Critică 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36047

CVE-2021-36048

Depășirea memoriei tampon bazată pe heap

(CWE-122)

Executare de cod arbitrară

Critică 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36050

CVE-2021-36051

Depășirea memoriei tampon bazată pe stivă

(CWE-121)

Executare de cod arbitrară

Critică 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39847

Citire în afara limitelor

(CWE-125)

Refuz de serviciu pentru aplicație

Importantă

5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36053

Depășirea memoriei tampon bazată pe heap

(CWE-122)

Refuz de serviciu pentru aplicație

Importantă

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36054

Depășirea memoriei tampon bazată pe heap

(CWE-122)

Refuz de serviciu pentru aplicație

Importantă

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2021-36055

CVE-2021-36056

Condiția scriere-ce-unde

(CWE-123)

Executare de cod arbitrară

Importantă

4.7

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-36057

Subscriere tampon („Buffer Underflow”) (CWE-124)

Executare de cod arbitrară

Critică 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36064

Încadrare sau depășire întreg

(CWE-190)

Refuz de serviciu pentru aplicație

Importantă

6.6

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36058

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri: 

  • CFF din echipa Topsec Alpha (cff_123) (CVE-2021-36052, CVE-2021-36064)
  • CQY din echipa Topsec Alpha (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)

Revizuire

1 septembrie 2021: s-au actualizat scorul de bază CVSS și vectorul CVSS pentru CVE-2021-36064, CVE-2021-36052.

                                  S-au inclus detalii despre CVE-2021-39847. 

                                  S-au actualizat detaliile mulțumirii pentru yjdfy.    

27 septembrie 2021: S-a actualizat scorul de bază CVSS pentru CVE-2021-36058 și CVE-2021-36054. S-a actualizat categoria de vulnerabilitate pentru CVE-2021-36056. S-a actualizat creditul pentru CVE-2021-36058.


 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

Sigla Adobe

Conectați-vă la cont