發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB21-09
安全性公告 ID 發佈日期 優先順序
APSB21-09 2021 年 2 月 9 日 1

摘要

Adobe 已發佈 Windows 與 macOS 版本的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決多個重大重要的弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

Adobe 收到的一份報告中指出,針對 Windows 版 Adobe Reader 用戶發起的數次攻擊中,其中廣泛利用了 CVE-2021-21017。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC  Continuous 

2020.013.20074 (含) 以前版本          
Windows 和 macOS
Acrobat Reader DC Continuous  2020.013.20074 (含) 以前版本          
Windows 和 macOS
       
Acrobat 2020
Classic 2020           
2020.001.30018 及舊版
Windows 和 macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30018 及舊版
Windows 和 macOS
       
Acrobat 2017 Classic 2017 2017.011.30188 (含) 以前版本          
Windows 和 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30188 (含) 以前版本          
Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請參閱特定的發行說明版本,有關安裝程式的連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC Continuous

2021.001.20135       

Windows 和 macOS 1 版本注意事項     
Acrobat Reader DC Continuous 2021.001.20135   
Windows 和 macOS 1 版本注意事項     
           
Acrobat 2020
Classic 2020           
2020.001.30020 
Windows 和 macOS     
1 版本注意事項     
Acrobat Reader 2020
Classic 2020           
2020.001.30020 
Windows 和 macOS     
1 版本注意事項     
           
Acrobat 2017 Classic 2017 2017.011.30190  
Windows 和 macOS 1 版本注意事項     
Acrobat Reader 2017 Classic 2017 2017.011.30190  
Windows 和 macOS 1 版本注意事項     

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
緩衝區溢位
應用程式阻絕服務
重要
CVE-2021-21046
堆積型緩衝區溢位
任意執行程式碼
重大
CVE-2021-21017
造訪路徑
任意執行程式碼
重大
CVE-2021-21037
整數溢位
任意執行程式碼
重大
CVE-2021-21036
不當的存取控制
權限提升
重大
CVE-2021-21045
超出範圍讀取
權限提升
重要

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

使用已釋放記憶體
資訊洩漏
重要
CVE-2021-21061
超出範圍寫入
任意執行程式碼
重大

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

緩衝區溢位
任意執行程式碼
重大

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULL 指標反參照
資訊洩漏
重要
CVE-2021-21057
不當的輸入驗證
資訊洩漏
重要
CVE-2021-21060
使用釋放後記憶體
任意執行程式碼
重大

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

缺少對完整性檢查的支援 
安全功能無故略過 重要

CVE-2021-28545

CVE-2021-28546

鳴謝

Adobe 在此感謝以下幾位人士回報這些問題,與 Adobe 共同保護我們的客戶: 

  • 匿名呈報 (CVE-2021-21017)
  • Nipun Gupta、Ashfaq Ansari、and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Mark Vincent Yason (@MarkYason) (CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 UCAS 的 Xu Peng 和奇安信技術研究院的 Wang Yanhao (CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 AIOFuzzer (CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
  • 天府盃 2020 國際網路安全大賽的 360CDSRC (CVE-2021-21037)
  • CERT/CC 的 Will Dormann (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 天府盃 2020 國際網路安全大賽的胖 (CVE-2021-21040)
  • 天府盃 2020 國際網路安全大賽的 360政企安全漏洞研究院 (CVE-2021-21039)
  • 天府盃 2020 國際網路安全大賽的螞蟻安全光年實驗室基礎研究小組 (CVE-2021-21038)
  • 天府盃 2020 國際網路安全大賽的 CodeMaster (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Palo Alto Networks 的 Ken Hsu (CVE-2021-21058)
  • Palo Alto Networks 的 Ken Hsu 和知道創宇 404 實驗室的 Heige (又名 SuperHei) (CVE-2021-21059)
  • Palo Alto Networks 的 Ken Hsu 和 Bo Qu (CVE-2021-21062)
  • Palo Alto Networks 的 Ken Hsu 和 Zhibin Zhang (CVE-2021-21063)
  • Google Project Zero 的 Mateusz Jurczyk (CVE-2021-21086)
  • Ruhr University Bochum 大學 Network and Data Security 系主任 Simon Rohlmann、Vladislav Mladenov、Christian Mainka、Jörg Schwenk (CVE-2021-28545、CVE-2021-28546)

修訂

2021 年 2 月 10 日:更新 CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 的鳴謝。

2021 年 3 月 10 日:更新 CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 的致謝名單

2021 年 3 月 17 日:新增 CVE-2021-21086、CVE-2021-21088 和 CVE-2021-21089 的相關細節。

2021 年 3 月 26 日:新增 CVE-2021-28545 和 CVE-2021-28546 的相關細節。