Adobe-säkerhetsbulletin

Säkerhetsuppdatering för Adobe Acrobat och Reader | APSB21-51

Bulletin-ID

Publiceringsdatum

Prioritet

APSB21-51

den 13 juli 2021

2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar flera kritiska och viktiga sårbarheter. Exploatering kan leda till exekvering av godtycklig kod i den aktuella användarens kontext.

 

Berörda versioner

Produkt

Spår

Berörda versioner

Plattform

Acrobat DC 

Continuous

2021.005.20054 och tidigare versioner          

Windows och macOS

Acrobat Reader DC

Continuous

2021.005.20054 och tidigare versioner          

Windows och macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30005 och tidigare versioner

Windows och macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30005 och tidigare versioner

Windows och macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30197 och tidigare versioner          

Windows och macOS

Acrobat Reader 2017

Classic 2017

2017.011.30197 och tidigare versioner          

Windows och macOS

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Länkar till installationsprogram finns i den specifika versionsinformationen.     

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Produkt

Spår

Uppdaterade versioner

Plattform

Prioritet

Tillgänglighet

Acrobat DC

Continuous

2021.005.20058

Windows och macOS

2

Acrobat Reader DC

Continuous

2021.005.20058

Windows och macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006

Windows och macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006

Windows och macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199

Windows och macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199

Windows och macOS

2

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVSS-baspoäng 
CVSS-vektor
CVE-nummer

Överskridning av läsningsgränser 

(CWE-125)

Minnesläcka Viktigt
3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Path traversal

(CWE-22)

Exekvering av godtycklig kod
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Användning efter frigöring

(CWE-416)

Exekvering av godtycklig kod 
Kritisk
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Typförväxling

(CWE-843)

Exekvering av godtycklig kod 
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Användning efter frigöring

(CWE-416)

Exekvering av godtycklig kod 
Kritisk
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Överskridning av skrivningsgränser

(CWE-787)

Godtycklig skrivning till filsystem
Kritisk
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Överskridning av läsningsgränser

(CWE-125)

Minnesläcka
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Typförväxling

(CWE-843)

Godtycklig läsning av filsystem
Viktigt
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Stackbaserat buffertspill

(CWE-122)

Exekvering av godtycklig kod 
Kritisk
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

NULL-pekaravreferering

(CWE-476)

Denial-of-service för program
Viktigt
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Okontrollerat sökvägselement

(CWE-427)

Exekvering av godtycklig kod 
Kritisk
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

OS-kommandoinjektion

(CWE-78)

Exekvering av godtycklig kod 
Kritisk
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Användning efter frigöring 

(CWE-416)

Exekvering av godtycklig kod 
Kritisk
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Tack

Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:   

  • Nipun Gupta , Ashfaq Ansari och Krishnakant Patil - CloudFuzz i samarbete med Trend Micro Zero Day Initiative (CVE-2021-35983) 
  • Xu Peng från UCAS och Wang Yanhao från QiAnXin Technology Research Institute i samarbete med Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) från Trend Micro Security Research i samarbete med Trend Micro Zero Day Initiative (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Revisioner

14 juli 2021: Uppdaterad bekräftelseinformation för CVE-2021-28640.

15 juli 2021: Uppdaterad bekräftelseinformation för CVE-2021-35981.

29 juli 2021: Uppdatering av CVSS-baspoäng och CVSS-vektorn för CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 juli 2021: Uppdatering av sårbarhetens inverkan, allvarlighet, CVSS-baspoäng och CVSS-vektorn för CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-2 8644



 

 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online