Идентификатор бюллетеня
Последнее обновление
26 янв. 2022 г.
Обновление системы безопасности для Adobe Acrobat и Reader | APSB21-55
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB21-55 |
14 сентября 2021 г. |
2 |
Сводка
Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические, важные и средние уязвимости. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.
Затронутые версии
|
Отслеживать |
Затронутые версии |
Платформа |
|
|
Acrobat DC |
Continuous |
2021.005.20060 и более ранние версии |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 и более ранние версии |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 и более ранние версии |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 и более ранние версии |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 и более ранние версии |
Windows и macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 и более ранние версии |
Windows и macOS |
Решение
Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:
Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
Для ИТ-администраторов (в управляемых средах):
Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:
|
Отслеживать |
Обновленные версии |
Платформа |
Рейтинг приоритета |
Доступность |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows и macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows и macOS |
2 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Базовая оценка CVSS |
Вектор CVSS |
Номер CVE |
|---|---|---|---|---|---|
Ошибка типа (CWE-843) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Переполнение буфера на основе кучи (CWE-122) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Раскрытие информации (CWE-200) |
Чтение в произвольной файловой системе |
Средняя |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Критическая |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Чтение за пределами буфера (CWE-125) |
Утечка памяти |
Важная |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Чтение за пределами буфера (CWE-125) |
Чтение в произвольной файловой системе |
Средняя |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Запись за пределами буфера (CWE-787) |
Утечка памяти |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Переполнение буфера в стеке (CWE-121) |
Выполнение произвольного кода |
Критическая |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Неконтролируемый элемент в пути поиска (CWE-427) |
Выполнение произвольного кода |
Важная |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Важная |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Разыменование NULL указателя (CWE-476) |
Утечка памяти |
Важная |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Разыменование NULL указателя (CWE-476) |
Отказ в обслуживании приложения |
Важная |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Разыменование NULL указателя (CWE-476) |
Отказ в обслуживании приложения |
Важная |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Разыменование NULL указателя (CWE-476) |
Отказ в обслуживании приложения |
Важная |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Используйте после бесплатно (CWE-416) |
Выполнение произвольного кода |
Критическая |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Благодарности
Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- Mark Vincent Yason (@MarkYason), участник программы Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng из UCAS и Ying Lingyun из QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) и Andrei Stefan (CVE-2021-39863)
- Кяо Ли (Qiao Li ), Baidu Security Lab, участник программы Trend Micro Zero Day Initiative (CVE-2021-39858)
Редакции
20 сентября 2021 г.: обновлены сведения о подтверждении для CVE-2021-35982.
28 сентября 2021 г.: обновлены сведения о подтверждении для CVE-2021-39863.
5 октября 2021 г.: обновлены базовая оценка CVSS, вектор CVSS и серьезность для CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Добавлены данные и благодарности для CVE-2021-40725 и CVE-2021-40726.
18 января 2022 г.: обновлены сведения о благодарности для CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.