安全性公告 ID
上次更新時間
2021年11月1日
發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB21-09
|
|
發佈日期 |
優先順序 |
|---|---|---|
|
APSB21-09 |
2021 年 2 月 9 日 |
1 |
摘要
受影響的版本
|
追蹤 |
受影響的版本 |
平台 |
|
|
Acrobat DC |
Continuous |
2020.013.20074 (含) 以前版本 |
Windows 和 macOS |
|
Acrobat Reader DC |
Continuous |
2020.013.20074 (含) 以前版本 |
Windows 和 macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 及舊版 |
Windows 和 macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 及舊版 |
Windows 和 macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 (含) 以前版本 |
Windows 和 macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 (含) 以前版本 |
Windows 和 macOS |
解決方法
Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:
使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。
偵測到更新時,產品會自動更新,使用者無須操作。
您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。
若您是 IT 管理員 (受管理的環境):
請參閱特定的發行說明版本,有關安裝程式的連結。
透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
|
追蹤 |
更新版本 |
平台 |
優先順序分級 |
上市情況 |
|
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows 和 macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows 和 macOS |
1 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows 和 macOS |
1 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows 和 macOS |
1 |
弱點詳細資料
| 弱點類別 | 弱點影響 | 嚴重性 | CVE 編號 |
|---|---|---|---|
| 緩衝區溢位 |
應用程式阻絕服務 |
重要 |
CVE-2021-21046 |
| 堆積型緩衝區溢位 |
任意執行程式碼 |
重大 |
CVE-2021-21017 |
| 造訪路徑 |
任意執行程式碼 |
重大 |
CVE-2021-21037 |
| 整數溢位 |
任意執行程式碼 |
重大 |
CVE-2021-21036 |
| 不當的存取控制 |
權限提升 |
重大 |
CVE-2021-21045 |
| 超出範圍讀取 |
權限提升 |
重要 |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
| 使用已釋放記憶體 |
資訊洩漏 |
重要 |
CVE-2021-21061 |
| 超出範圍寫入 |
任意執行程式碼 |
重大 |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
| 緩衝區溢位 |
任意執行程式碼 |
重大 |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
| NULL 指標反參照 |
資訊洩漏 |
重要 |
CVE-2021-21057 |
| 不當的輸入驗證 |
資訊洩漏 |
重要 |
CVE-2021-21060 |
| 使用釋放後記憶體 |
任意執行程式碼 |
重大 |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
| 缺少對完整性檢查的支援 |
安全功能無故略過 | 重要 | CVE-2021-28545 CVE-2021-28546 |
鳴謝
Adobe 在此感謝以下幾位人士回報這些問題,與 Adobe 共同保護我們的客戶:
- 匿名呈報 (CVE-2021-21017)
- Nipun Gupta、Ashfaq Ansari、and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
- 與趨勢科技零時差漏洞懸賞計畫合作的 Mark Vincent Yason (@MarkYason) (CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
- 與趨勢科技零時差漏洞懸賞計畫合作的 UCAS 的 Xu Peng 和奇安信技術研究院的 Wang Yanhao (CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
- 與趨勢科技零時差漏洞懸賞計畫合作的 AIOFuzzer (CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
- 天府盃 2020 國際網路安全大賽的 360CDSRC (CVE-2021-21037)
- CERT/CC 的 Will Dormann (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- 天府盃 2020 國際網路安全大賽的胖 (CVE-2021-21040)
- 天府盃 2020 國際網路安全大賽的 360政企安全漏洞研究院 (CVE-2021-21039)
- 天府盃 2020 國際網路安全大賽的螞蟻安全光年實驗室基礎研究小組 (CVE-2021-21038)
- 天府盃 2020 國際網路安全大賽的 CodeMaster (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- Palo Alto Networks 的 Ken Hsu (CVE-2021-21058)
- Palo Alto Networks 的 Ken Hsu 和知道創宇 404 實驗室的 Heige (又名 SuperHei) (CVE-2021-21059)
- Palo Alto Networks 的 Ken Hsu 和 Bo Qu (CVE-2021-21062)
- Palo Alto Networks 的 Ken Hsu 和 Zhibin Zhang (CVE-2021-21063)
- Google Project Zero 的 Mateusz Jurczyk (CVE-2021-21086)
- Ruhr University Bochum 大學 Network and Data Security 系主任 Simon Rohlmann、Vladislav Mladenov、Christian Mainka、Jörg Schwenk (CVE-2021-28545、CVE-2021-28546)
修訂
2021 年 2 月 10 日:更新 CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 的鳴謝資訊。
2021 年 3 月 10 日:更新 CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 的銘謝資訊。
2021 年 3 月 17 日:新增 CVE-2021-21086、CVE-2021-21088 和 CVE-2021-21089 的相關細節。
2021 年 3 月 26 日:新增 CVE-2021-28545 和 CVE-2021-28546 的相關細節。
2021 年 9 月 29 日:新增 CVE-2021-40723 的相關細節。
