Bülten No
Son güncelleme:
26 Oca 2022
Adobe Acrobat ve Reader için Güvenlik Güncellemeleri Mevcut | APSB22-01
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB22-01 |
11 Ocak 2022 |
2 |
Özet
Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, birden fazla kritik, önemli ve orta dereceli güvenlik açığını giderir. Başarılı bir istismar, rastgele kod yürütülmesine, bellek sızıntısına, uygulama hizmet reddine, güvenlik özelliği atlama ve ayrıcalık yükseltme.
Etkilenen Sürümler
|
Track |
Etkilenen Sürümler |
Platform |
|
|
Acrobat DC |
Continuous |
21.007.20099 ve önceki sürümleri |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 ve önceki sürümleri |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 ve önceki sürümleri |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 ve önceki sürümleri |
Windows & macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 ve önceki sürümleri |
Windows & macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 ve önceki sürümler |
Windows & macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 ve önceki sürümler |
Windows & macOS |
Acrobat DC ile ilgili sorular için, lütfen Acrobat DC FAQ page adresini ziyaret edin.
Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC SSS sayfasını adresini ziyaret edin.
Çözüm
Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.
En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:
Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.
IT yöneticileri için (yönetilen ortamlar):
Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.
Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:
|
Track |
Güncel Sürümler |
Platform |
Öncelik Derecelendirmesi |
Bulunma Durumu |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows ve macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows ve macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows ve macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows ve macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows ve macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows ve macOS |
2 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVSS baz skoru | CVSS vektörü | CVE Numarası |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Bilgi Açığa Çıkması (CWE-200) |
Ayrıcalığı yükseltme | Orta Dereceli | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Yığın Tabanlı Arabellek Aşımı (CWE-121) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Başlatılmamış İşaretçiye Erişim (CWE-824) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Sınır Dışı Yazma (CWE-787) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Yığın Tabanlı Arabellek Aşımı (CWE-122) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Yığın Tabanlı Arabellek Aşımı (CWE-122) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Tamsayı Taşması veya Başa Sarmalı (CWE-190) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Uygunsuz Giriş Doğrulaması (CWE-20) | Uygulama hizmet engelleme | Önemli | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Use After Free (CWE-416) | Uygulama hizmet engelleme | Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Güvenli Tasarım İlkelerinin İhlali (CWE-657) | Güvenlik özelliği atlatması | Orta Dereceli | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Sınır Dışı Okuma (CWE-125) | Bellek Sızıntısı | Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Bilgi Açığa Çıkması (CWE-200) |
Ayrıcalığı yükseltme |
Orta Dereceli | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| NULL İmleç Referanstan Ayrılma (CWE-476) | Uygulama hizmet engelleme | Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| NULL İmleç Referanstan Ayrılma (CWE-476) | Uygulama hizmet engelleme | Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Sınır Dışı Okuma (CWE-125) | Bellek Sızıntısı | Orta Dereceli | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Sınır Dışı Okuma (CWE-125) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Sınır Dışı Yazma (CWE-787) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Use After Free (CWE-416) | Ayrıcalığı yükseltme | Orta Dereceli | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Use After Free (CWE-416) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Arabellek Sona Erdikten Sonra Bellek Konumu Erişimi (CWE-788) | Bellek Sızıntısı | Önemli | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Sınır Dışı Yazma (CWE-787) | Rastgele kod yürütme | Kritik | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Trend Micro Zero Day Initiative ile birlikte çalışan Ashfaq Ansari ve Krishnakant Patil - HackSys Inc (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Zscaler'ın ThreatLabz'ından Kai Lu (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- TianfuCup aracılığıyla PangU (CVE-2021-44704)
- TianfuCup aracılığıyla StakLeader (CVE-2021-44705)
- TianfuCup aracılığıyla Kunlun Lab'den bee13oy (CVE-2021-44706)
- Güvenlik Açığı Araştırma Enstitüsü Juvenile Via TianfuCup (CVE-2021-44707)
- Jaewon Min ve Aleksandar Nikolic of Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Qihoo 360'tan Rocco Calvi (TecR0c) ve Steven Seeley (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- Baidu Security'nin fr0zenrain'i (fr0zenrain) (CVE-2021-44742)
- Trend Micro Zero Day Initiative ile anonim çalışma (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Değişiklikler:
12 Ocak 2022: CVE-2021-44706 için güncellenmiş alındı bilgisi
13 Ocak 2022: CVE-2021-45064 için güncellenmiş alındı bilgisi, CVE-2021-44702 ve CVE-2021-44739 için güncellenmiş CVE ayrıntıları
17 Ocak 2022: CVE-2021-44706 için güncellenmiş alındı bilgisi
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
