Adobe Güvenlik Bülteni

Ara

Son güncelleme: Nov 01, 2021 07:45:30 AM GMT

Adobe Acrobat ve Reader İçin güvenlik güncellemesi mevcut | APSB21-09

Bülten No	Yayınlandığı Tarih	Öncelik
APSB21-09	9 Şubat 2021	1

Özet

Adobe, Windows ve MacOS için Adobe Acrobat ve Reader için güvenlik güncelleştirmeleri yayımladı. Bu güncellemeler birden fazla kritik ve önemli güvenlik açığını ele alır. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.

Adobe, Windows üzerindeki Adobe Reader kullanıcılarının sınırlı saldırılarda CVE-2021-21017 suistimaline kurban gittiğinin raporunu aldı.

Etkilenen Sürümler

Ürün	Track	Etkilenen Sürümler	Platform
Acrobat DC	Continuous	2020.013.20074 ve önceki sürümleri	Windows & macOS
Acrobat Reader DC	Continuous	2020.013.20074 ve önceki sürümleri	Windows & macOS

Acrobat 2020	Classic 2020	2020.001.30018 ve önceki sürümler	Windows & macOS
Acrobat Reader 2020	Classic 2020	2020.001.30018 ve önceki sürümler	Windows & macOS

Acrobat 2017	Classic 2017	2017.011.30188 ve önceki sürümleri	Windows & macOS
Acrobat Reader 2017	Classic 2017	2017.011.30188 ve önceki sürümleri	Windows & macOS

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.     
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):     

Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün	Track	Güncel Sürümler	Platform	Öncelik Derecelendirmesi	Bulunma Durumu
Acrobat DC	Continuous	2021.001.20135	Windows ve macOS	1	Sürüm Notları
Acrobat Reader DC	Continuous	2021.001.20135	Windows ve macOS	1	Sürüm Notları

Acrobat 2020	Classic 2020	2020.001.30020	Windows ve macOS	1	Sürüm Notları
Acrobat Reader 2020	Classic 2020	2020.001.30020	Windows ve macOS	1	Sürüm Notları

Acrobat 2017	Classic 2017	2017.011.30190	Windows ve macOS	1	Sürüm Notları
Acrobat Reader 2017	Classic 2017	2017.011.30190	Windows ve macOS	1	Sürüm Notları

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	CVE Numarası
Arabellek aşımı	Uygulama hizmet engelleme	Önemli	CVE-2021-21046
Yığın Tabanlı Arabellek Aşımı	Rastgele kod yürütme	Kritik	CVE-2021-21017
Yol Geçişi	Rastgele kod yürütme	Kritik	CVE-2021-21037
Tam Sayı Taşması	Rastgele kod yürütme	Kritik	CVE-2021-21036
Uygunsuz Erişim Kontrolü	Ayrıcalığı yükseltme	Kritik	CVE-2021-21045
Sınır Dışı Okuma	Ayrıcalığı yükseltme	Önemli	CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723
Kullanım-sonrası-serbest	Bilgilerin Açığa Çıkması	Önemli	CVE-2021-21061
Sınır Dışı Yazma	Rastgele kod yürütme	Kritik	CVE-2021-21044 CVE-2021-21038 CVE-2021-21086
Arabellek aşımı	Rastgele kod yürütme	Kritik	CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063
NULL İmleç Referanstan Ayrılma	Bilgilerin Açığa Çıkması	Önemli	CVE-2021-21057
Uygunsuz Giriş Doğrulaması	Bilgilerin Açığa Çıkması	Önemli	CVE-2021-21060
Use After Free Zafiyeti	Rastgele kod yürütme	Kritik	CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088
Bütünlük Denetimi İçin Eksik Destek	Güvenlik özelliği atlatması	Önemli	CVE-2021-28545 CVE-2021-28546

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder.

Rapor eden kişinin ismi belirtilmemiştir (CVE-2021-21017)
Nipun Gupta, Ashfaq Ansari ve Krishnakant Patil - CloudFuzz (CVE-2021-21041)
Mark Vincent Yason (@MarkYason), Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
Xu Peng, UCAS ve Wang Yanhao, QiAnXin Technology Research Institute - Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
AIOFuzzer, Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061, CVE-2021-21088)
Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360CDSRC (CVE-2021-21037)
CERT/CC'den Will Dormann (CVE-2021-21045)
Xuwei Liu (shellway) (CVE-2021-21046)
Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 胖 (CVE-2021-21037)
Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360政企安全漏洞研究院 (CVE-2021-21037)
Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 蚂蚁安全光年实验室基础研究小组 (CVE-2021-21037)
Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki CodemMaster (CVE-2021-21037)
Xinyu Wan (wxyxsx) (CVE-2021-21057)
Haboob Labs (CVE-2021-21060)
Ken Hsu, Palo Alto Networks (CVE-2021-21058)
Ken Hs, Palo Alto Networks, Heige (SuperHei), Knwonsec 404 Ekibi (CVE-2021-21059)
Ken Hsu, Bo Qu, Palo Alto Networks (CVE-2021-21062)
Ken Hsu, Zhibin Zhan, Palo Alto Networks (CVE-2021-21063)
Mateusz Jurczyk, Google Project Zero (CVE-2021-21086)
Simon Rohlmann, Vladislav Mladenov, Christian Mainka ve Jörg Schwenk, Ağ ve Veri Güvenliği Başkanı, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Değişiklikler

10 Şubat 2021: CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063 için güncellenen bilgilendirmeler.

10 Mart 2021: CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021 için güncellenen bilgilendirmeler

17 Mart 2021: CVE-2021-21086, CVE-2021-21088 ve CVE-2021-21089 için detaylar eklendi.

26 Mart 2021: CVE-2021-28545 ve CVE-2021-28546 için detaylar eklenmiştir.

29 Eylül 2021 Çarşamba: CVE-2021-40723 için detaylar eklenmiştir

Hesabınıza giriş yapın