Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe XMP Toolkit SDK | APSB21-65

Bulletin-ID

Publiceringsdatum

Prioritet

APSB21-65

den 17 augusti 2021

3

Sammanfattning

Adobe har släppt uppdateringar för XMP-Toolkit-SDK. Dessa uppdateringar åtgärdar flera kritiska och viktiga sårbarheter. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod i den aktuella användarkontexten.

Berörda versioner

Produkt

Berörd version

Plattform

Adobe XMP-Toolkit-SDK

2020.1 och tidigare versioner    

Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen. 

Produkt

Uppdaterad version

Plattform

Prioritet

Tillgänglighet

Adobe XMP-Toolkit-SDK   

2021.07

Alla 

3

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer

Överskridning av läsningsgränser

(CWE-125)

Godtycklig läsning av filsystem

Kritisk 

7.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVE-2021-36045

Åtkomst till minnesplats efter buffertens slut

(CWE-788)

Exekvering av godtycklig kod

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36046

CVE-2021-36052

Felaktig validering av indata

(CWE-20)

Exekvering av godtycklig kod

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36047

CVE-2021-36048

Stackbaserat buffertspill

(CWE-122)

Exekvering av godtycklig kod

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36050

CVE-2021-36051

Stackbaserat buffertspill

(CWE-121)

Exekvering av godtycklig kod

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39847

Överskridning av läsningsgränser

(CWE-125)

Denial-of-service för program

Viktig

5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36053

Stackbaserat buffertspill

(CWE-122)

Denial-of-service för program

Viktig

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36054

Stackbaserat buffertspill

(CWE-122)

Denial-of-service för program

Viktig

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2021-36055

CVE-2021-36056

Write-what-where-förhållande

(CWE-123)

Exekvering av godtycklig kod

Viktig

4.7

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-36057

Underskrivning av buffert (”Buffer Underflow”) (CWE-124)

Exekvering av godtycklig kod

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36064

Heltalsspill eller wraparound

(CWE-190)

Denial-of-service för program

Viktig

6.6

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36058

Tack

Adobe tackar följande personer för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • CFF från Topsec Alpha Team (cff_123) (CVE-2021-36052, CVE-2021-36064)
  • CQY från Topsec Alpha Team (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)

Revision

1 september 2021: Uppdatering av CVSS-baspoäng och CVSS-vektorn för CVE-2021-36064, CVE-2021-36052.

                                  Information om CVE-2021-39847 har lagts till. 

                                  Uppgifterna om erkännande av yjdfy har uppdaterats.    

27 september 2021: Uppdatering av CVSS-baspoäng för CVE-2021-36058 och CVE-2021-36054. Uppdaterad sårbarhetskategori för CVE-2021-36056. Uppdaterat tack för CVE-2021-36058.


 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online