Adobe-säkerhetsbulletin

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar flera kritiska och  viktiga sårbarheter. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod i den aktuella användarkontexten.       

Adobe har fått en rapport om att CVE-2021-21017 har utnyttjats i begränsade attacker mot Adobe Reader-användare på Windows.

Berörda versioner

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

• Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

• Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

• Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

• Länkar till installationsprogram finns i den specifika versionsinformationen.     

• Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Sårbarhetsinformation

Tack

Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor. 

• Anonym rapport (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari och Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) i samarbete med Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng från UCAS och Wang Yanhao från QiAnXin Technology Research Institute i samarbete med Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE VE-2021-21021)
• AIOFuzzer i samarbete med Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
• Will Dormann från CERT/CC (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
• 360政企安全漏洞研究院 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
• CodeMaster i Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu från Palo Alto Networks (CVE-2021-21058)
• Ken Hsu från Palo Alto Networks, Heige (alias SuperHei) från Knmirasec 404-teamet (CVE-2021-21059)
• Ken Hsu, Bo Qu från Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang från Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk från Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka och Jörg Schwenk Chairman for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisioner

10 februari 2021: Uppdaterade tack för CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 mars 2021: Uppdaterat tack för CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 mars 2021: Information om CVE-2021-21086, CVE-2021-21088 och CVE-2021-21089 har lagts till.

26 mars 2021: Information om CVE-2021-28545 och CVE-2021-28546 har lagts till.

29 september 2021: Information om CVE-2021-40723 har lagts till.