Бюллетень безопасности Adobe

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранено несколько критических и важных уязвимостей. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.       

Компания Adobe получила сообщение о том, что уязвимость CVE-2021-21017 была использована на практике в ходе ограниченного числа атак, направленных против пользователей Adobe Reader в системе Windows.

Затронутые версии

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

• Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     

• При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.      

• Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.     

Для ИТ-администраторов (в управляемых средах):     

• Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.

• Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.     

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Сведения об уязвимости

Благодарности

Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов. 

• Анонимное уведомление (CVE-2021-21017)
• Нипун Гупта, Ашфак Ансари и Кришнакант Патил — CloudFuzz (CVE-2021-21041)
• Марк Винсент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Сюй Пэн из UCAS и Ван Яньхао из технологического исследовательского института QiAnXin, работающего в рамках программы Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer, участник программы Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• 360CDSRC в Международном конкурсе по кибербезопасности Tianfu Cup 2020 (CVE-2021-21037)
• Уил Дорман, CERT/CC (CVE-2021-21045)
•  Сюйвэй Лю (shellway) (CVE-2021-21046)
• 胖 в Международном конкурсе по кибербезопасности Tianfu Cup 2020 (CVE-2021-21040)
• 360政企安全漏洞研究院 в Международном конкурсе по кибербезопасности Tianfu Cup 2020 (CVE-2021-21039)
• 蚂蚁安全光年实验室基础研究小组 в Международном конкурсе по кибербезопасности Tianfu Cup 2020 (CVE-2021-21038)
• CodeMaster в Международном конкурсе по кибербезопасности Tianfu Cup 2020 (CVE-2021-21036)
•  Синьюй Вань (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Кэнь Hсу, Palo Alto Networks (CVE-2021-21058)
• Кэнь Hсу, Palo Alto Networks, Heige (также известен как SuperHei) из группы Knwonsec 404 (CVE-2021-21059)
• Кэнь Hсу, Бо Цюй, Palo Alto Networks (CVE-2021-21062)
• Кэнь Hсу, Чжибинь Чжан, Palo Alto Networks (CVE-2021-21063)
• Матеуш Юржик, Google Project Zero (CVE-2021-21086)
• Саймон Ролман, Владислав Младленов, Кристиан Майнка и Йорг Швенк, председатель совета по безопасности сети и данных, Рурский университет в Бохуме (CVE-2021-28545, CVE-2021-28546)

Редакции

10 февраля 2021 г.: обновлен раздел благодарностей для CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 марта 2021 г.: обновлены благодарности за CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 марта 2021 г.: добавлены сведения об уязвимостях CVE-2021-21086, CVE-2021-21088 и CVE-2021-21089.

26 марта 2021 г.: добавлены сведения об уязвимостях CVE-2021-28545 и CVE-2021-28546.

29 сентября 2021 г.:  добавлены сведения об уязвимости CVE-2021-40723