Adobe-säkerhetsbulletin

Säkerhetsuppdatering för Adobe Acrobat och Reader tillgänglig  | APSB22-01

Bulletin-ID

Publiceringsdatum

Prioritet

APSB22-01

11 januari 2022

2

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar  flera kritiska, viktiga och måttliga sårbarheter. Framgångsrik exploatering kan leda till exekvering av godtycklig kod, minnesläckage, överbelastning av en applikation,  kringgående av säkerhetsfunktioner och utökning av privilegier. 

Berörda versioner

Produkt

Spår

Berörda versioner

Plattform

Acrobat DC 

Continuous 

21.007.20099  och tidigare versioner

Windows

Acrobat Reader DC

Continuous


21.007.20099  och tidigare versioner
 

Windows

Acrobat DC 

Continuous 

21.007.20099  och tidigare versioner
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099  och tidigare versioner
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017  och tidigare versioner  

Windows och macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017  och tidigare versioner 

Windows och macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  och tidigare versioner          

Windows och macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  och tidigare versioner        
  

Windows och macOS

Om du har frågor om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.

Om du har frågor om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.

Lösning

Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.    

De senaste produktversionerna är tillgängliga för användare via en av följande metoder:    

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.     

  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.      

  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.     

För IT-administratörer (administrerade miljöer):     

  • Länkar till installationsprogram finns i den specifika versionsinformationen.     

  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH. 

   

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:   

Produkt

Spår

Uppdaterade versioner

Plattform

Prioritetsklassificering

Tillgänglighet

Acrobat DC

Continuous

21.011.20039

Windows och macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows och macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows och macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows och macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows och macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows och macOS

2

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVSS-baspoäng CVSS-vektor CVE-nummer
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod  Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Informationsexponering (CWE-200)
Eskalering av behörighet Måttlig 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Stackbaserat buffertspill (CWE-121) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Tillgång till oinitierad pekare (CWE-824) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Överskridning av skrivningsgränser (CWE-787) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Stackbaserat buffertspill (CWE-122) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Stackbaserat buffertspill (CWE-122) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Heltalsspill eller wraparound (CWE-190) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Felaktig validering av indata (CWE-20) Denial-of-service för program Viktigt 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Användning efter frigöring (CWE-416) Denial-of-service för program Viktigt 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Överträdelse av principerna för säker design (CWE-657) Åsidosättning av säkerhetsfunktion Måttlig 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Överskridning av läsningsgränser (CWE-125) Minnesläcka Måttlig 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Informationsexponering (CWE-200)
Eskalering av behörighet
Måttlig 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
NULL-pekaravvikelse (CWE-476) Denial-of-service för program Måttlig 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
NULL-pekaravvikelse (CWE-476) Denial-of-service för program Måttlig 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Överskridning av läsningsgränser (CWE-125) Minnesläcka Måttlig 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Överskridning av läsningsgränser (CWE-125) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Överskridning av skrivningsgränser (CWE-787) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Användning efter frigöring (CWE-416) Eskalering av behörighet Måttlig 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Användning efter frigöring (CWE-416) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Åtkomst till minnesplats efter buffertens slut (CWE-788) Minnesläcka Viktigt 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Överskridning av skrivningsgränser (CWE-787) Exekvering av godtycklig kod Kritisk 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Ashfaq Ansari och Krishnakant Patil – HackSys Inc i samarbete med Trend Micro Zero Day Initiative (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu från Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU via TianfuCup (CVE-2021-44704)
  • StakLeader via TianfuCup (CVE-2021-44705)
  • bee13oy från Kunlun Lab via TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile via TianfuCup (CVE-2021-44707)
  • Jaewon Min och Aleksandar Nikolic från Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) och Steven Seeley från Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain från Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Revisioner:

12 januari 2022: Uppdaterat erkännande för CVE-2021-44706

13 januari 2022: Uppdaterat erkännande för CVE-2021-45064, uppdaterad CVE-information för CVE-2021-44702 och CVE-2021-44739

17 januari 2022: Uppdaterat erkännande för CVE-2021-44706

 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?