Bollettino sulla sicurezza di Adobe

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e MacOS. Questi aggiornamenti risolvono vulnerabilità critiche multiple e importanti. Se sfruttate, tali vulnerabilità potrebbero causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente.     

Adobe ha ricevuto un report secondo cui CVE-2021-21017 è stato sfruttato in attacchi limitati con obiettivo gli utenti Adobe Reader in Windows.

Versioni interessate

Soluzione

Adobe consiglia agli utenti di aggiornare i software installati alle versioni più recenti seguendo le istruzioni riportate di seguito.    

Le ultime versioni dei prodotti sono a disposizione degli utenti finali mediante uno dei seguenti metodi:    

• Gli utenti possono aggiornare manualmente i prodotti installati selezionando Aiuto > Verifica aggiornamenti.     

• I prodotti verranno aggiornati automaticamente non appena saranno rilevati nuovi aggiornamenti, senza l'intervento dell'utente.      

• È possibile scaricare il programma di installazione completo di Acrobat Reader dal Centro di download di Acrobat Reader.     

Per gli amministratori IT (ambienti gestiti):     

• Consultare la versione della nota di rilascio specifica per link ai programmi di installazione.     

• Installate gli aggiornamenti utilizzando il metodo che preferite, ad esempio AIP-GPO, il programma di avvio automatico, SCUP/SCCM (su Windows) oppure Apple Remote Desktop e SSH (su macOS). 

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:   

Dettagli della vulnerabilità

Ringraziamenti

Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti. 

• Segnalazione anonima (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari, and Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason) in collaborazione con la Zero Day Initiative di Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng di UCAS e Wang Yanhao di QiAnXin Technology Research Institute, in collaborazione con Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE 2021-21021)
• AIOFuzzer in collaborazione con la Zero Day Initiative di Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
• Will Dormann di CERT/CC (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• 胖 a Tianfu Cup 2020, International Cybersecurity Contest (CVE-2021-21040)
• 360政企安全漏洞研究院 in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
• CodeMaster in Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu di Palo Alto Networks (CVE-2021-21058)
• Ken Hsu di Palo Alto Networks, Heige (alias SuperHei) del team Knwonsec 404 (CVE-2021-21059)
• Ken Hsu, Bo Qu di Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhang di Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk di Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka e Jörg Schwenk presidente per la sicurezza dei dati e della rete, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Revisioni

10 febbraio 2021: conferme aggiornate per CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 marzo 2021: conferma aggiornata per CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 marzo 2021: sono stati aggiunti dettagli per CVE-2021-21086, CVE-2021-21088 e CVE-2021-21089.

26 marzo 2021: sono stati aggiunti dettagli per CVE-2021-28545 e CVE-2021-28546.

29 settembre 2021: sono stati aggiunti dettagli per CVE-2021-40723