Bülten No
Adobe Acrobat ve Reader için güvenlik güncellemesi mevcut | APSB21-55
|
Yayınlandığı Tarih |
Öncelik |
---|---|---|
APSB21-55 |
14 Eylül 2021 Salı |
2 |
Özet
Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, birden fazla kritik, önemli ve orta dereceli güvenlik açığını giderir. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.
Etkilenen Sürümler
Track |
Etkilenen Sürümler |
Platform |
|
Acrobat DC |
Continuous |
2021.005.20060 ve önceki sürümler |
Windows |
Acrobat Reader DC |
Continuous |
2021.005.20060 ve önceki sürümler |
Windows |
Acrobat DC |
Continuous |
2021.005.20058 ve önceki sürümler |
macOS |
Acrobat Reader DC |
Continuous |
2021.005.20058 ve önceki sürümler |
macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 ve önceki sürümler |
Windows & macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 ve önceki sürümler |
Windows & macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 ve önceki sürümler |
Windows & macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 ve önceki sürümler |
Windows & macOS |
Çözüm
Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:
Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.
IT yöneticileri için (yönetilen ortamlar):
Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.
Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:
Track |
Güncel Sürümler |
Platform |
Öncelik Derecelendirmesi |
Bulunma Durumu |
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows ve macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows ve macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows ve macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows ve macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows ve macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows ve macOS |
2 |
Güvenlik Açığı Detayları
Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVSS baz skoru |
CVSS vektörü |
CVE Numarası |
---|---|---|---|---|---|
Tür Karışıklığı (CWE-843) |
Rastgele kod yürütme |
Kritik |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Yığın Tabanlı Arabellek Aşımı (CWE-122) |
Rastgele kod yürütme |
Kritik |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Bilgi Açığa Çıkması (CWE-200) |
Rastgele sistem dosyası okunması |
Orta Dereceli |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Sınır dışı okuma (CWE-125) |
Bellek sızıntısı |
Kritik |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Sınır dışı okuma (CWE-125) |
Bellek sızıntısı |
Önemli |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Sınır dışı okuma (CWE-125) |
Rastgele sistem dosyası okunması |
Orta Dereceli |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Sınır Dışı Yazma (CWE-787) |
Bellek sızıntısı |
Kritik |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Yığın Tabanlı Arabellek Aşımı (CWE-121) |
Rastgele kod yürütme |
Kritik |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Kontrolsüz Arama Yolu Unsuru (CWE-427) |
Rastgele kod yürütme |
Önemli |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Use After Free Zafiyeti (CWE-416) |
Rastgele kod yürütme |
Önemli |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Use After Free Zafiyeti (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
NULL İmleç Referanstan Ayrılma (CWE-476) |
Bellek sızıntısı |
Önemli |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
NULL İmleç Referanstan Ayrılma (CWE-476) |
Uygulama hizmet engelleme |
Önemli |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
NULL İmleç Referanstan Ayrılma (CWE-476) |
Uygulama hizmet engelleme |
Önemli |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
NULL İmleç Referanstan Ayrılma (CWE-476) |
Uygulama hizmet engelleme |
Önemli |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Use After Free Zafiyeti (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Use After Free Zafiyeti (CWE-416) |
Rastgele kod yürütme |
Kritik |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Mark Vincent Yason (@MarkYason), Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840) ile çalışıyor , CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>)(CVE-2021-35982)
- UCAS'tan XuPeng ve Ying Lingyun, QI-ANXIN Teknoloji Araştırma Enstitüsü'nü oluşturdu (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) ve Andrei Stefan (CVE-2021-39863)
- Trend Micro Zero Day Initiative ile çalışan Qiao Li, Baidu Security Lab (CVE-2021-39858)
Değişiklikler
20 Eylül 2021: CVE-2021-35982 için teşekkür bilgileri eklendi.
28 Eylül 2021: CVE-2021-39863 için teşekkür bilgileri eklendi.
5 Ekim 2021: CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861 için CVSS taban puanı, CVSS vektörü ve Önem Derecesi güncellendi. CVE-2021-40725 ve CVE-2021-40726 için veriler ve bildirimler eklendi.
18 Ocak 2022: CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849 için güncellendi alındı bilgisi
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.