Bulletin-ID
Senast uppdaterad den
26 jan. 2022
Säkerhetsuppdatering tillgänglig för Adobe Acrobat och Reader | APSB21-55
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB21-55 |
den 14 september 2021 |
2 |
Sammanfattning
Berörda versioner
|
Spår |
Berörda versioner |
Plattform |
|
|
Acrobat DC |
Continuous |
2021.005.20060 och tidigare versioner |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 och tidigare versioner |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 och tidigare versioner |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 och tidigare versioner |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 och tidigare versioner |
Windows och macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 och tidigare versioner |
Windows och macOS |
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.
För IT-administratörer (administrerade miljöer):
Länkar till installationsprogram finns i den specifika versionsinformationen.
Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
|
Spår |
Uppdaterade versioner |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows och macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows och macOS |
2 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVSS-baspoäng |
CVSS-vektor |
CVE-nummer |
|---|---|---|---|---|---|
Typförväxling (CWE-843) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Stackbaserat buffertspill (CWE-122) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Informationsexponering (CWE-200) |
Godtycklig läsning av filsystem |
Måttlig |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Kritisk |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Överskridning av läsningsgränser (CWE-125) |
Minnesläcka |
Viktigt |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Överskridning av läsningsgränser (CWE-125) |
Godtycklig läsning av filsystem |
Måttlig |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Överskridning av skrivningsgränser (CWE-787) |
Minnesläcka |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Stackbaserat buffertspill (CWE-121) |
Exekvering av godtycklig kod |
Kritisk |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Okontrollerat sökvägselement (CWE-427) |
Exekvering av godtycklig kod |
Viktig |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Viktigt |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
NULL-pekaravvikelse (CWE-476) |
Minnesläcka |
Viktigt |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
NULL-pekaravvikelse (CWE-476) |
Denial-of-service för program |
Viktigt |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
NULL-pekaravvikelse (CWE-476) |
Denial-of-service för program |
Viktigt |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
NULL-pekaravvikelse (CWE-476) |
Denial-of-service för program |
Viktigt |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Användning efter frigöring (CWE-416) |
Exekvering av godtycklig kod |
Kritisk |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Tack
Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Mark Vincent Yason (@MarkYason) i samarbete med Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng från UCAS och Ying Lingyun från QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) och Andrei Stefan (CVE-2021-39863)
- Qiao Li från Baidu Security Lab i samarbete med Trend Micro Zero Day Initiative (CVE-2021-39858)
Revisioner
20 september 2021: Uppgifterna om erkännande av CVE-2021-35982 har uppdaterats.
28 september 2021: Uppgifterna om erkännande av CVE-2021-39863 har uppdaterats.
5 oktober 2021: Uppdaterad CVSS-baspoäng, CVSS-vektor och allvarlighetsgrad för CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Uppgifter och erkännanden för CVE-2021-40725 och CVE-2021-40726 har lagts till.
18 januari 2022: Uppdaterad erkännandeinformation för CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
