Идентификатор бюллетеня
Последнее обновление
14 янв. 2022 г.
Обновление системы безопасности для Adobe Acrobat и Adobe Reader | APSB21-51
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB21-51 |
13 июля 2021 г. |
2 |
Сводка
Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранено несколько критических и важных уязвимостей. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.
Затронутые версии
|
Отслеживать |
Затронутые версии |
Платформа |
|
|
Acrobat DC |
Continuous |
2021.005.20054 и более ранние версии |
Windows и MacOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20054 и более ранние версии |
Windows и MacOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 и более ранние версии |
Windows и macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 и более ранние версии |
Windows и macOS |
Решение
Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:
Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
Для ИТ-администраторов (в управляемых средах):
Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:
|
Отслеживать |
Обновленные версии |
Платформа |
Рейтинг приоритета |
Доступность |
|
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows и macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows и macOS |
2 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Базовая оценка CVSS |
Вектор CVSS |
Номер CVE |
|---|---|---|---|---|---|
Чтение за пределами буфера (CWE-125) |
Утечка памяти | Важная |
3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Обход каталога (CWE-22) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Несоответствие используемых типов данных (CWE-843) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Запись за пределами буфера (CWE-787) |
Запись в произвольную файловую систему |
Критическая |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Несоответствие используемых типов данных (CWE-843) |
Чтение в произвольной файловой системе |
Важная |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Переполнение буфера на основе кучи (CWE-122) |
Выполнение произвольного кода |
Критическая |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Получение значений по указателю NULL (CWE-476) |
Отказ в обслуживании приложения |
Важная |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Неконтролируемый элемент в пути поиска (CWE-427) |
Выполнение произвольного кода |
Критическая |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Ввод команды операционной системы (CWE-78) |
Выполнение произвольного кода |
Критическая |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Благодарности
Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- Нипун Гупта, Ашфак Ансари и Кришнакарт Патил — CloudFuzz , участники программы Trend Micro Zero Day Initiative (CVE-2021-35983)
- Сюй Пэн из UCAS и Ван Яньхао из технологического исследовательского института QiAnXin, работающего в рамках программы Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Кейси Удонши (Kc Udonsi) (@glitchnsec), Trend Micro Security Research, участник программы Trend Micro Zero Day Initiative (CVE-2021-28639)
- Ноа (howsubtle) (CVE-2021-28634)
- Сюй Пэн (xupeng_1231) (CVE-2021-28635)
- Ксавьер Инверс Форнеллс (m4gn3t1k) (CVE-2021-28636)
Редакции
14 июля 2021 г.: обновлены сведения о подтверждении для CVE-2021-28640.
15 июля 2021 г.: обновлены сведения о подтверждении для CVE-2021-35981.
29 июля 2021 г.: обновлены базовая оценка CVSS и вектор CVSS для CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 июля 2021 г.: обновлены влияние уязвимости, важность, базовая оценка CVSS и вектор CVSS для уязвимостей CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.