Adobe 安全性公告

發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB21-09

安全性公告 ID	發佈日期	優先順序
APSB21-09	2021 年 2 月 9 日	1

Adobe 已發佈 Windows 與 macOS 版本的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決多個重大且重要的弱點。這些弱點一旦遭有心人士利用，可能導致使用者在使用過程中，發生任意執行程式碼的問題。

Adobe 收到的一份報告中指出，針對 Windows 版 Adobe Reader 用戶發起的數次攻擊中，其中廣泛利用了 CVE-2021-21017。

產品	追蹤	受影響的版本	平台
Acrobat DC	Continuous	2020.013.20074 (含) 以前版本	Windows 和 macOS
Acrobat Reader DC	Continuous	2020.013.20074 (含) 以前版本	Windows 和 macOS

Acrobat 2020	Classic 2020	2020.001.30018 及舊版	Windows 和 macOS
Acrobat Reader 2020	Classic 2020	2020.001.30018 及舊版	Windows 和 macOS

Acrobat 2017	Classic 2017	2017.011.30188 (含) 以前版本	Windows 和 macOS
Acrobat Reader 2017	Classic 2017	2017.011.30188 (含) 以前版本	Windows 和 macOS

Adobe 建議使用者依照下列說明，將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法，取得最新的產品版本：

使用者可手動更新產品安裝，方法是選擇「說明 > 檢查更新」。
偵測到更新時，產品會自動更新，使用者無須操作。
您可前往 Acrobat Reader 下載中心，下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境)：

請參閱特定的發行說明版本，有關安裝程式的連結。
透過慣用的方式安裝更新，例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows)；若為 macOS，可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類，並建議使用者將其安裝更新至最新版本：   

產品	追蹤	更新版本	平台	優先順序分級	上市情況
Acrobat DC	Continuous	2021.001.20135	Windows 和 macOS	1	版本注意事項
Acrobat Reader DC	Continuous	2021.001.20135	Windows 和 macOS	1	版本注意事項

Acrobat 2020	Classic 2020	2020.001.30020	Windows 和 macOS	1	版本注意事項
Acrobat Reader 2020	Classic 2020	2020.001.30020	Windows 和 macOS	1	版本注意事項

Acrobat 2017	Classic 2017	2017.011.30190	Windows 和 macOS	1	版本注意事項
Acrobat Reader 2017	Classic 2017	2017.011.30190	Windows 和 macOS	1	版本注意事項

弱點類別	弱點影響	嚴重性	CVE 編號
緩衝區溢位	應用程式阻絕服務	重要	CVE-2021-21046
堆積型緩衝區溢位	任意執行程式碼	重大	CVE-2021-21017
造訪路徑	任意執行程式碼	重大	CVE-2021-21037
整數溢位	任意執行程式碼	重大	CVE-2021-21036
不當的存取控制	權限提升	重大	CVE-2021-21045
超出範圍讀取	權限提升	重要	CVE-2021-21042 CVE-2021-21034 CVE-2021-21089
使用已釋放記憶體	資訊洩漏	重要	CVE-2021-21061
超出範圍寫入	任意執行程式碼	重大	CVE-2021-21044 CVE-2021-21038 CVE-2021-21086
緩衝區溢位	任意執行程式碼	重大	CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063
NULL 指標反參照	資訊洩漏	重要	CVE-2021-21057
不當的輸入驗證	資訊洩漏	重要	CVE-2021-21060
使用釋放後記憶體	任意執行程式碼	重大	CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088
缺少對完整性檢查的支援	安全功能無故略過	重要	CVE-2021-28545 CVE-2021-28546

Adobe 在此感謝以下幾位人士回報這些問題，與 Adobe 共同保護我們的客戶：

匿名呈報 (CVE-2021-21017)
Nipun Gupta、Ashfaq Ansari、and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
與趨勢科技零時差漏洞懸賞計畫合作的 Mark Vincent Yason (@MarkYason) (CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
與趨勢科技零時差漏洞懸賞計畫合作的 UCAS 的 Xu Peng 和奇安信技術研究院的 Wang Yanhao (CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
與趨勢科技零時差漏洞懸賞計畫合作的 AIOFuzzer (CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
天府盃 2020 國際網路安全大賽的 360CDSRC (CVE-2021-21037)
CERT/CC 的 Will Dormann (CVE-2021-21045)
Xuwei Liu (shellway) (CVE-2021-21046)
天府盃 2020 國際網路安全大賽的胖 (CVE-2021-21040)
天府盃 2020 國際網路安全大賽的 360政企安全漏洞研究院 (CVE-2021-21039)
天府盃 2020 國際網路安全大賽的螞蟻安全光年實驗室基礎研究小組 (CVE-2021-21038)
天府盃 2020 國際網路安全大賽的 CodeMaster (CVE-2021-21036)
Xinyu Wan (wxyxsx) (CVE-2021-21057)
Haboob Labs (CVE-2021-21060)
Palo Alto Networks 的 Ken Hsu (CVE-2021-21058)
Palo Alto Networks 的 Ken Hsu 和知道創宇 404 實驗室的 Heige (又名 SuperHei) (CVE-2021-21059)
Palo Alto Networks 的 Ken Hsu 和 Bo Qu (CVE-2021-21062)
Palo Alto Networks 的 Ken Hsu 和 Zhibin Zhang (CVE-2021-21063)
Google Project Zero 的 Mateusz Jurczyk (CVE-2021-21086)
Ruhr University Bochum 大學 Network and Data Security 系主任 Simon Rohlmann、Vladislav Mladenov、Christian Mainka、Jörg Schwenk (CVE-2021-28545、CVE-2021-28546)

2021 年 2 月 10 日：更新 CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 的鳴謝。

2021 年 3 月 10 日：更新 CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 的致謝名單

2021 年 3 月 17 日：新增 CVE-2021-21086、CVE-2021-21088 和 CVE-2021-21089 的相關細節。

2021 年 3 月 26 日：新增 CVE-2021-28545 和 CVE-2021-28546 的相關細節。

Adobe 安全性公告

摘要

受影響的版本

解決方法

弱點詳細資料

鳴謝

修訂

詢問社群

聯絡我們