Adobe Güvenlik Bülteni

Adobe Acrobat ve Reader İçin güvenlik güncellemesi mevcut | APSB21-09

Bülten No

Yayınlandığı Tarih

Öncelik

APSB21-09

9 Şubat 2021

1

Özet

Adobe, Windows ve MacOS için Adobe Acrobat ve Reader için güvenlik güncelleştirmeleri yayımladı. Bu güncellemeler birden fazla kritik ve önemli güvenlik açığını ele alır. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.

Adobe, Windows üzerindeki Adobe Reader kullanıcılarının sınırlı saldırılarda CVE-2021-21017 suistimaline kurban gittiğinin raporunu aldı.

Etkilenen Sürümler

Ürün

Track

Etkilenen Sürümler

Platform

Acrobat DC 

Continuous 

2020.013.20074 ve önceki sürümleri          

Windows & macOS

Acrobat Reader DC

Continuous 

2020.013.20074 ve önceki sürümleri          

Windows & macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 ve önceki sürümler

Windows & macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 ve önceki sürümler

Windows & macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 ve önceki sürümleri          

Windows & macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 ve önceki sürümleri          

Windows & macOS

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     

  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.      

  • Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.   

IT yöneticileri için (yönetilen ortamlar):     

  • Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.

  • AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin. 

   

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün

Track

Güncel Sürümler

Platform

Öncelik Derecelendirmesi

Bulunma Durumu

Acrobat DC

Continuous

2021.001.20135       

Windows ve macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows ve macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows ve macOS

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows ve macOS

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows ve macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows ve macOS

1

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Arabellek aşımı
Uygulama hizmet engelleme
Önemli
CVE-2021-21046
Yığın Tabanlı Arabellek Aşımı
Rastgele kod yürütme
Kritik
CVE-2021-21017
Yol Geçişi
Rastgele kod yürütme
Kritik
CVE-2021-21037
Tam Sayı Taşması
Rastgele kod yürütme
Kritik
CVE-2021-21036
Uygunsuz Erişim Kontrolü
Ayrıcalığı yükseltme
Kritik
CVE-2021-21045
Sınır Dışı Okuma
Ayrıcalığı yükseltme
Önemli

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Kullanım-sonrası-serbest
Bilgilerin Açığa Çıkması
Önemli
CVE-2021-21061
Sınır Dışı Yazma
Rastgele kod yürütme
Kritik

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Arabellek aşımı
Rastgele kod yürütme
Kritik

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULL İmleç Referanstan Ayrılma
Bilgilerin Açığa Çıkması
Önemli
CVE-2021-21057
Uygunsuz Giriş Doğrulaması
Bilgilerin Açığa Çıkması
Önemli
CVE-2021-21060
Use After Free Zafiyeti
Rastgele kod yürütme
Kritik

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Bütünlük Denetimi İçin Eksik Destek
Güvenlik özelliği atlatması Önemli

CVE-2021-28545

CVE-2021-28546

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder. 

  • Rapor eden kişinin ismi belirtilmemiştir (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari ve Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason), Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng, UCAS ve Wang Yanhao, QiAnXin Technology Research Institute  - Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer, Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360CDSRC (CVE-2021-21037)
  • CERT/CC'den Will Dormann (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 胖 (CVE-2021-21037)
  • Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360政企安全漏洞研究院 (CVE-2021-21037)
  • Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 蚂蚁安全光年实验室基础研究小组 (CVE-2021-21037)
  • Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki CodemMaster (CVE-2021-21037)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu, Palo Alto Networks (CVE-2021-21058)
  • Ken Hs, Palo Alto Networks, Heige (SuperHei), Knwonsec 404 Ekibi (CVE-2021-21059)
  • Ken Hsu, Bo Qu, Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhan, Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk, Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka ve Jörg Schwenk, Ağ ve Veri Güvenliği Başkanı, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Değişiklikler

10 Şubat 2021: CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063 için güncellenen bilgilendirmeler.

10 Mart 2021: CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021 için güncellenen bilgilendirmeler

17 Mart 2021: CVE-2021-21086, CVE-2021-21088 ve CVE-2021-21089 için detaylar eklendi.

26 Mart 2021: CVE-2021-28545 ve CVE-2021-28546 için detaylar eklenmiştir.

29 Eylül 2021 Çarşamba: CVE-2021-40723 için detaylar eklenmiştir





 

 

Adobe logosu

Hesabınıza giriş yapın