Adobe 安全性公告

發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB21-29

安全性公告 ID

發佈日期

優先順序

APSB21-29

2021 年 5 月 11 日

1

摘要

Adobe 已發佈 Windows 與 macOS 版本的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決多個重大重要的弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生任意執行程式碼的問題。

Adobe 收到的一份報告中指出,針對 Windows 版 Adobe Reader 用戶發起的數次攻擊皆廣泛利用了 CVE-2021-28550 所述弱點。

受影響的版本

產品

追蹤

受影響的版本

平台

Acrobat DC 

Continuous 

2021.001.20150 (含) 以前版本          

Windows

Acrobat Reader DC

Continuous 

2021.001.20150 (含) 以前版本          

Windows 

Acrobat DC 

Continuous 

2021.001.20149 (含) 以前

版本

macOS

Acrobat Reader DC

Continuous 

2021.001.20149 (含) 以前

版本

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 (含) 以前版本

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30020 (含) 以前版本

Windows 和 macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30194 (含) 以前版本          

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

2017.011.30194 (含) 以前版本          

Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請參閱特定的發行說明版本,有關安裝程式的連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品

追蹤

更新版本

平台

優先順序分級

上市情況

Acrobat DC

Continuous

2021.001.20155       

Windows 和 macOS

1

Acrobat Reader DC

Continuous

2021.001.20155

Windows 和 macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30025

Windows 和 macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30025

Windows 和 macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30196

Windows 和 macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30196

Windows 和 macOS

1

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
緩衝區溢位
任意執行程式碼
重要
CVE-2021-28561
堆積型緩衝區溢位
任意執行程式碼
重大
CVE-2021-28560
堆積型緩衝區溢位
任意執行程式碼
重要 
CVE-2021-28558
超出範圍讀取
記憶體流失
重大
CVE-2021-28557
超出範圍讀取
檔案系統任意寫入
重要 
CVE-2021-28555
超出範圍讀取
任意執行程式碼
重大

CVE-2021-28565

超出範圍寫入
任意執行程式碼
重大
CVE-2021-28564
超出範圍寫入
任意執行程式碼
重大

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

私人資訊曝光
權限提升
重要 

CVE-2021-28559

使用釋放後記憶體 (Use After Free)
任意執行程式碼
重大

CVE-2021-28562

CVE-2021-28550

CVE-2021-28553

鳴謝

Adobe 在此感謝以下幾位人士回報這些問題,與 Adobe 共同保護我們的客戶: 

  • 匿名回報 (CVE-2021-28550)
  • Cisco Talos 的 Aleksandar Nikolic(CVE-2021-28562)
  • Xu peng (xupeng_1231) (CVE-2021-28561)
  • chutchut (CVE-2021-28559)
  • Baidu Security 的 fr0zenrain (CVE-2021-28560)
  • Haboob Labs (CVE-2021-28557、CVE-2021-28564、CVE-2021-28565、CVE-2021-28553、CVE-2021-28558、CVE-2021-28555)

更快、更輕鬆地獲得協助

新的使用者?