Идентификатор бюллетеня
Последнее обновление
1 нояб. 2021 г.
Обновления системы безопасности для Adobe XMP Toolkit SDK | APSB21-65
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB21-65 |
17 августа 2021 г |
3 |
Сводка
Компания Adobe выпустила обновления для XMP-Toolkit-SDK. В этих обновлениях устранено несколько критических и важных уязвимостей. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.
Затронутые версии
|
Продукт |
Затронутая версия |
Платформа |
|
Adobe XMP-Toolkit-SDK |
2020.1 и более ранние версии |
Все |
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до более новых версий.
|
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
|
Adobe XMP-Toolkit-SDK |
2021.07 |
Все |
3 |
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Номер CVE |
|
|---|---|---|---|---|---|
|
Чтение за пределами буфера (CWE-125) |
Чтение в произвольной файловой системе |
Критическая |
7.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H |
CVE-2021-36045 |
|
Доступ к памяти после окончания буфера (CWE-788) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36046 CVE-2021-36052 |
|
Проверка неправильного ввода (CWE-20) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36047 CVE-2021-36048 |
|
Переполнение буфера на основе кучи (CWE-122) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36050 CVE-2021-36051 |
|
Переполнение буфера в стеке (CWE-121) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39847 |
|
Чтение за пределами буфера (CWE-125) |
Отказ в обслуживании приложения |
Важная |
5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36053 |
|
Переполнение буфера на основе кучи (CWE-122) |
Отказ в обслуживании приложения |
Важная |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36054 |
|
Переполнение буфера на основе кучи (CWE-122) |
Отказ в обслуживании приложения |
Важная |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2021-36055 CVE-2021-36056 |
|
Состояние запись-что-где (CWE-123) |
Выполнение произвольного кода |
Важная |
4.7 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-36057 |
|
Запись до начала буфера (CWE-124) |
Выполнение произвольного кода |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36064 |
|
Переполнение целого числа или циклический возврат (CWE-190) |
Отказ в обслуживании приложения |
Важная |
6.6 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36058 |
Благодарности
Компания Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- CFF из группы Topsec Alpha Team (cff_123) (CVE-2021-36052, CVE-2021-36064)
- CQY, Topsec Alpha Team (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)
Редакция
1 сентября 2021 г.: обновлены базовая оценка CVSS и вектор CVSS для CVE-2021-36064, CVE-2021-36052.
Добавлены сведения об уязвимости CVE-2021-39847.
Обновлена благодарность yjdfy.
27 сентября 2021 г.: обновлена базовая оценка для CVE-2021-36058 и CVE-2021-36054. Обновленная категория для уязвимости CVE-2021-36056. Обновлена благодарность за сообщение о проблеме CVE-2021-36058.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.