Bulletin-ID
Senast uppdaterad den
14 jan. 2022
Säkerhetsuppdatering för Adobe Acrobat och Reader | APSB21-51
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB21-51 |
den 13 juli 2021 |
2 |
Sammanfattning
Berörda versioner
|
Spår |
Berörda versioner |
Plattform |
|
|
Acrobat DC |
Continuous |
2021.005.20054 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 och tidigare versioner |
Windows och macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 och tidigare versioner |
Windows och macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 och tidigare versioner |
Windows och macOS |
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.
För IT-administratörer (administrerade miljöer):
Länkar till installationsprogram finns i den specifika versionsinformationen.
Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
|
Spår |
Uppdaterade versioner |
Plattform |
Prioritet |
Tillgänglighet |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows och macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows och macOS |
2 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVSS-baspoäng |
CVSS-vektor |
CVE-nummer |
|---|---|---|---|---|---|
Överskridning av läsningsgränser (CWE-125) |
Minnesläcka | Viktigt |
3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Path traversal (CWE-22) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Typförväxling (CWE-843) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Överskridning av skrivningsgränser (CWE-787) |
Godtycklig skrivning till filsystem |
Kritisk |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Typförväxling (CWE-843) |
Godtycklig läsning av filsystem |
Viktigt |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Stackbaserat buffertspill (CWE-122) |
Exekvering av godtycklig kod |
Kritisk |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
NULL-pekaravreferering (CWE-476) |
Denial-of-service för program |
Viktigt |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Okontrollerat sökvägselement (CWE-427) |
Exekvering av godtycklig kod |
Kritisk |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
OS-kommandoinjektion (CWE-78) |
Exekvering av godtycklig kod |
Kritisk |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Nipun Gupta , Ashfaq Ansari och Krishnakant Patil - CloudFuzz i samarbete med Trend Micro Zero Day Initiative (CVE-2021-35983)
- Xu Peng från UCAS och Wang Yanhao från QiAnXin Technology Research Institute i samarbete med Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) från Trend Micro Security Research i samarbete med Trend Micro Zero Day Initiative (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Revisioner
14 juli 2021: Uppdaterad bekräftelseinformation för CVE-2021-28640.
15 juli 2021: Uppdaterad bekräftelseinformation för CVE-2021-35981.
29 juli 2021: Uppdatering av CVSS-baspoäng och CVSS-vektorn för CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 juli 2021: Uppdatering av sårbarhetens inverkan, allvarlighet, CVSS-baspoäng och CVSS-vektorn för CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-2 8644
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
