Bulletin-ID
Senast uppdaterad den
26 jan. 2022
Säkerhetsuppdatering för Adobe Acrobat och Reader tillgänglig | APSB22-01
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB22-01 |
11 januari 2022 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och macOS. Dessa uppdateringar åtgärdar flera kritiska, viktiga och måttliga sårbarheter. Framgångsrik exploatering kan leda till exekvering av godtycklig kod, minnesläckage, överbelastning av en applikation, kringgående av säkerhetsfunktioner och utökning av privilegier.
Berörda versioner
|
Spår |
Berörda versioner |
Plattform |
|
|
Acrobat DC |
Continuous |
21.007.20099 och tidigare versioner |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 och tidigare versioner |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 och tidigare versioner |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 och tidigare versioner |
Windows och macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 och tidigare versioner |
Windows och macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 och tidigare versioner |
Windows och macOS |
Om du har frågor om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC.
Om du har frågor om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.
Lösning
Adobe rekommenderar användare att uppdatera sina programinstallationer till den senaste versionen genom att följa instruktionerna nedan.
De senaste produktversionerna är tillgängliga för användare via en av följande metoder:
Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.
Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.
Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Hämtningscenter.
För IT-administratörer (administrerade miljöer):
Länkar till installationsprogram finns i den specifika versionsinformationen.
Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för macOS – via Apple Remote Desktop och SSH.
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
|
Spår |
Uppdaterade versioner |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows och macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows och macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows och macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows och macOS |
2 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | CVSS-baspoäng | CVSS-vektor | CVE-nummer |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Informationsexponering (CWE-200) |
Eskalering av behörighet | Måttlig | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Stackbaserat buffertspill (CWE-121) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Tillgång till oinitierad pekare (CWE-824) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Överskridning av skrivningsgränser (CWE-787) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Stackbaserat buffertspill (CWE-122) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Stackbaserat buffertspill (CWE-122) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Heltalsspill eller wraparound (CWE-190) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Felaktig validering av indata (CWE-20) | Denial-of-service för program | Viktigt | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Användning efter frigöring (CWE-416) | Denial-of-service för program | Viktigt | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Överträdelse av principerna för säker design (CWE-657) | Åsidosättning av säkerhetsfunktion | Måttlig | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Överskridning av läsningsgränser (CWE-125) | Minnesläcka | Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Informationsexponering (CWE-200) |
Eskalering av behörighet |
Måttlig | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| NULL-pekaravvikelse (CWE-476) | Denial-of-service för program | Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| NULL-pekaravvikelse (CWE-476) | Denial-of-service för program | Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Överskridning av läsningsgränser (CWE-125) | Minnesläcka | Måttlig | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Överskridning av läsningsgränser (CWE-125) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Överskridning av skrivningsgränser (CWE-787) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Användning efter frigöring (CWE-416) | Eskalering av behörighet | Måttlig | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Användning efter frigöring (CWE-416) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Åtkomst till minnesplats efter buffertens slut (CWE-788) | Minnesläcka | Viktigt | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Överskridning av skrivningsgränser (CWE-787) | Exekvering av godtycklig kod | Kritisk | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Ashfaq Ansari och Krishnakant Patil – HackSys Inc i samarbete med Trend Micro Zero Day Initiative (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu från Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU via TianfuCup (CVE-2021-44704)
- StakLeader via TianfuCup (CVE-2021-44705)
- bee13oy från Kunlun Lab via TianfuCup (CVE-2021-44706)
- Vulnerability Research Institute Juvenile via TianfuCup (CVE-2021-44707)
- Jaewon Min och Aleksandar Nikolic från Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) och Steven Seeley från Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain från Baidu Security (fr0zenrain) (CVE-2021-44742)
- Ett anonymt bidrag i samarbete med Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Revisioner:
12 januari 2022: Uppdaterat erkännande för CVE-2021-44706
13 januari 2022: Uppdaterat erkännande för CVE-2021-45064, uppdaterad CVE-information för CVE-2021-44702 och CVE-2021-44739
17 januari 2022: Uppdaterat erkännande för CVE-2021-44706
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
