Adobe 安全性公告

發佈 Adobe Acrobat 和 Reader 的安全性更新 | APSB21-55

安全性公告 ID

發佈日期

優先順序

APSB21-55

2021 年 9 月 14 日

2

摘要

Adobe 已發佈適用於 Windows 和 macOS 作業系統的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決多項重大重要中度弱點。這些弱點一旦遭有心人士利用,可能導致使用者在使用過程中,發生系統任意執行程式碼的問題。

 

受影響的版本

產品

追蹤

受影響的版本

平台

Acrobat DC 

Continuous 

2021.005.20060 (含) 以前版本          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 (含) 以前版本          

Windows

Acrobat DC 

Continuous 

2021.005.20058 (含) 以前版本          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 (含) 以前版本          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 (含) 以前版本

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 (含) 以前版本

Windows 和 macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  (含) 以前版本          

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  (含) 以前版本          

Windows 和 macOS

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請參閱特定的發行說明版本,有關安裝程式的連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品

追蹤

更新版本

平台

優先順序分級

上市情況

Acrobat DC

Continuous

2021.007.20091 

Windows 和 macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows 和 macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows 和 macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows 和 macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows 和 macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows 和 macOS

2

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVSS 基本評分 
CVSS 向量
CVE 編號

類型混淆 (CWE-843)

任意執行程式碼

重大

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

堆積型緩衝區溢位

(CWE-122)

任意執行程式碼

重大  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

資訊外洩

(CWE-200)

檔案系統任意讀取

中度

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

超出範圍讀取

(CWE-125)

記憶體流失

重大   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

超出範圍讀取

(CWE-125)

記憶體流失

重要

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

超出範圍讀取

(CWE-125)

檔案系統任意讀取

中度

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

超出範圍寫入

(CWE-787)

記憶體流失

重大

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

堆疊型緩衝區溢位 

(CWE-121)

任意執行程式碼

重大   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

搜尋路徑元素不受控制

(CWE-427)

任意執行程式碼

重要 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

使用釋放後記憶體 (Use After Free)

(CWE-416)

任意執行程式碼

重要

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

使用釋放後記憶體 (Use After Free)

(CWE-416)

任意執行程式碼

重大

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

NULL 指標反參照 (CWE-476)

記憶體流失

重要

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

NULL 指標反參照 (CWE-476)

應用程式拒絕提供服務

重要  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

NULL 指標反參照 (CWE-476)

應用程式拒絕提供服務

重要

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

NULL 指標反參照 (CWE-476)

應用程式拒絕提供服務

重要  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

使用釋放後記憶體 (Use After Free)

(CWE-416)

任意執行程式碼
重大   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

使用釋放後記憶體 (Use After Free)

(CWE-416)

任意執行程式碼
重大   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

鳴謝

Adobe 在此感謝以下人員回報相關問題,與 Adobe 共同保護我們的客戶:

  • 趨勢科技零時差漏洞懸賞計畫合作對象 Mark Vincent Yason (@MarkYason) (CVE-2021-39841、CVE-2021-39836、CVE-2021-39837、CVE-2021-39838、CVE-2021-39839、CVE-2021-39840、CVE-2021-40725、CVE-2021-40726)
  • Haboob labs (CVE-2021-39859、CVE-2021-39860、CVE-2021-39861、CVE-2021-39843、CVE-2021-39844、CVE-2021-39845、CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • UCAS 的 XuPeng 和 奇安信技術研究院的 Ying Lingyun (CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850、CVE-2021-39849)
  • j00sean (CVE-2021-39857、CVE-2021-39856、CVE-2021-39855、CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) 和 Andrei Stefan (CVE-2021-39863)
  • 趨勢科技零時差漏洞懸賞計畫合作伙伴,百度安全實驗室成員 Qiao Li (CVE-2021-39858)

修訂

2021 年 9 月 20 日:更新 CVE-2021-35982 的鳴謝詳細資訊。

2021 年 9 月 28 日:更新 CVE-2021-39863 的誌謝詳細資訊。

2021 年 10 月 5 日:更新 CVSS 基本評分、CVSS 向量和 CVE-2021-39852、CVE-2021-39851、CVE-2021-39863、CVE-2021-39860、CVE-2021-39861 的嚴重性。新增 CVE-2021-40725 和 CVE-2021-40726 的資料和誌謝。

2022 年 1 月 18 日:新增 CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850 和 CVE-2021-39849 的誌謝詳細資料



 

 


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。

 Adobe

更快、更輕鬆地獲得協助

新的使用者?

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上