Идентификатор бюллетеня
Последнее обновление
26 янв. 2022 г.
Обновление безопасности для Adobe Acrobat и Adobe Reader | APSB22-01
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB22-01 |
11 января 2022 г. |
2 |
Сводка
Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и MacOS. В этих обновлениях устранены критические, важные и средние уязвимости. Эксплуатация уязвимости может привести к выполнению произвольного кода, утечке памяти, отказу приложения в обслуживании, обходу функции безопасности и повышению уровня полномочий.
Затронутые версии
|
Отслеживать |
Затронутые версии |
Платформа |
|
|
Acrobat DC |
Continuous |
21.007.20099 и более ранние версии |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 и более ранние версии |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 и более ранние версии |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 и более ранние версии |
Windows и macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 и более ранние версии |
Windows и macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 и более ранние версии |
Windows и macOS |
При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.
При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.
Решение
Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.
Новейшие версии продуктов пользователи могут получить одним из следующих способов:
Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
Для ИТ-администраторов (в управляемых средах):
Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:
|
Отслеживать |
Обновленные версии |
Платформа |
Рейтинг приоритета |
Доступность |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows и macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows и macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows и macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows и macOS |
2 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Базовая оценка CVSS | Вектор CVSS | Номер CVE |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Раскрытие информации (CWE-200) |
Повышение уровня полномочий | Средняя | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Переполнение стекового буфера (CWE-121) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Доступ к неинициализированному указателю (CWE-824) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Запись вне границ буфера (CWE-787) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Переполнение буфера в динамической памяти (CWE-122) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Переполнение буфера в динамической памяти (CWE-122) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Переполнение целого числа или циклический возврат(CWE-190) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Неправильная проверка ввода (CWE-20) | Отказ в обслуживании приложения | Важная | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Использование данных после освобождения памяти (CWE-416) | Отказ в обслуживании приложения | Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Нарушение принципов безопасного проектирования (CWE-657) | Обход функции безопасности | Средняя | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Чтение за пределами буфера (CWE-125) | Утечка памяти | Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Раскрытие информации (CWE-200) |
Повышение уровня полномочий |
Средняя | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| Разыменование NULL указателя (CWE-476) | Отказ в обслуживании приложения | Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| Разыменование NULL указателя (CWE-476) | Отказ в обслуживании приложения | Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Чтение за пределами буфера (CWE-125) | Утечка памяти | Средняя | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Чтение за пределами буфера (CWE-125) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Запись вне границ буфера (CWE-787) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Использование данных после освобождения памяти (CWE-416) | Повышение уровня полномочий | Средняя | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Использование данных после освобождения памяти (CWE-416) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Доступ к памяти после окончания буфера (CWE-788) | Утечка памяти | Важная | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Запись вне границ буфера (CWE-787) | Выполнение произвольного кода | Критическая | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Благодарности
Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- Ашфак Ансари и Кришнакант Патил — HackSys Inc, участники программы Trend Micro Zero Day Initiative (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu из Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU, участник TianfuCup (CVE-2021-44704)
- StakLeader, участник TianfuCup (CVE-2021-44705)
- bee13oy из Kunlun Lab, участник TianfuCup (CVE-2021-44706)
- Vulnerability Research Institute Juvenile, участник TianfuCup (CVE-2021-44707)
- Jaewon Min и Aleksandar Nikolic из Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) и Steven Seeley из Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain, участник Baidu Security (fr0zenrain) (CVE-2021-44742)
- Анонимный пользователь, участник программы Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Редакции:
12 января 2022 г.: изменена благодарность за CVE-2021-44706
13 января 2022 г.: изменена благодарность за CVE-2021-45064, обновлены подробные данные CVE для CVE-2021-44702 and CVE-2021-44739
17 января 2022 г.: изменена благодарность за CVE-2021-44706
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.