Adobe 安全性公告

發佈 Adobe Acrobat 和 Reader 的安全性更新  | APSB22-01

安全性公告 ID

發佈日期

優先順序

APSB22-01

2022 年 1 月 11 日

2

摘要

Adobe 已發佈適用於 Windows 和 macOS 作業系統的 Adobe Acrobat 和 Reader 安全性更新。這些更新旨在解決  多項重大重要中度漏洞。這些漏洞一旦遭有心人士利用,可能發生系統任意執行程式碼、記憶體流失、應用程式拒絕提供服務、  安全功能無故略過及權限提升等問題。

受影響的版本

產品

追蹤

受影響的版本

平台

Acrobat DC 

Continuous 

21.007.20099 (含) 以前版本

Windows

Acrobat Reader DC

Continuous 


21.007.20099 (含) 以前版本
 

Windows

Acrobat DC 

Continuous 

21.007.20099 (含) 以前版本
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 (含) 以前版本
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 (含) 以前版本  

Windows 和 macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 (含) 以前版本 

Windows 和 macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  (含) 以前版本          

Windows 和 macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  (含) 以前版本        
  

Windows 和 macOS

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面

如有 Acrobat Reader DC 的相關問題,請參閱 Acrobat Reader DC 常見問答集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。    

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。

  • 偵測到更新時,產品會自動更新,使用者無須操作。 

  • 您可前往 Acrobat Reader 下載中心,下載完整的 Acrobat Reader 安裝程式。   

若您是 IT 管理員 (受管理的環境):

  • 請參閱特定的發行說明版本,有關安裝程式的連結。

  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 macOS,可透過 Apple Remote Desktop 及 SSH 安裝。 

   

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:   

產品

追蹤

更新版本

平台

優先順序分級

上市情況

Acrobat DC

Continuous

21.011.20039

Windows 和 macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows 和 macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows 和 macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows 和 macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows 和 macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows 和 macOS

2

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVSS 基本評分 CVSS 向量 CVE 編號
使用釋放後記憶體 (CWE-416) 任意執行程式碼  重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
資訊外洩 (CWE-200)
權限提升 中度 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
堆疊型緩衝區溢位 (CWE-121) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
使用釋放後記憶體 (CWE-416) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
存取未初始化的指標 (CWE-824) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
使用釋放後記憶體 (CWE-416) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
超出範圍寫入 (CWE-787) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
堆積型緩衝區溢位 (CWE-122) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
堆積型緩衝區溢位 (CWE-122) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
使用釋放後記憶體 (CWE-416) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
整數溢位或反向溢位 (CWE-190) 任意執行程式碼 重大 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
輸入驗證不當 (CWE-20) 應用程式拒絕提供服務 重要 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
使用釋放後記憶體 (CWE-416) 應用程式拒絕提供服務 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
違反安全設計原則 (CWE-657) 安全功能無故略過 中度 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
超出範圍讀取 (CWE-125) 記憶體流失 中度 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
資訊外洩 (CWE-200)
權限提升
中度 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
NULL 指標反參照 (CWE-476) 應用程式拒絕提供服務 中度 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
NULL 指標反參照 (CWE-476) 應用程式拒絕提供服務 中度 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
超出範圍讀取 (CWE-125) 記憶體流失 中度 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
超出範圍讀取 (CWE-125) 任意執行程式碼 重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
超出範圍寫入 (CWE-787) 任意執行程式碼 重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
使用釋放後記憶體 (CWE-416) 任意執行程式碼 重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
使用釋放後記憶體 (CWE-416) 權限提升 中度 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
使用釋放後記憶體 (CWE-416) 任意執行程式碼 重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
緩衝結束後存取記憶體位置 (CWE-788) 記憶體流失 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
超出範圍寫入 (CWE-787) 任意執行程式碼 重大 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

鳴謝

Adobe 在此感謝以下人員回報這些問題,與 Adobe 共同保護我們的客戶:

  • Ashfaq Ansari 和 Krishnakant Patil - 與趨勢科技零時差漏洞懸賞計畫合作的 HackSys Inc (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Zscaler ThreatLabZ 安全實驗室成員 Kai Lu (CVE-2021-44703、CVE-2021-44708、CVE-2021-44709、CVE-2021-44740、CVE-2021-44741)
  • 天府盃國際網路安全大賽的 PangU (CVE-2021-44704)
  • 天府盃國際網路安全大賽的 StakLeader (CVE-2021-44705)
  • 天府盃國際網路安全大賽,昆侖實驗成員 bee13oy (CVE-2021-44706)
  • 天府盃國際網路安全大賽的 Vulnerability Research Institute Juvenile (CVE-2021-44707)
  • 思科 Talos 的 Jaewon Min 和 Aleksandar Nikolic (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) 和 Qihoo 360 的 Steven Seeley (CVE-2021-44713、CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain of Baidu Security (fr0zenrain) (CVE-2021-44742)
  • 趨勢科技零時差漏洞懸賞計畫匿名合作對象 (CVE-2021-45060、CVE-2021-45061、CVE-2021-45062、CVE-2021-45063、CVE-2021-45068、CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

修訂:

2022 年 1 月 12 日:更新 CVE-2021-44706 的誌謝

2022 年 1 月 13 日:更新 CVE-2021-45064 的誌謝,以及 CVE-2021-44702 和 CVE-2021-44739 的 CVE 詳細資訊

2022 年 1 月 17 日:更新 CVE-2021-44706 的誌謝

 


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。

 Adobe

更快、更輕鬆地獲得協助

新的使用者?

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上