Adobe Güvenlik Bülteni

Adobe, Windows ve MacOS için Adobe Acrobat ve Reader için güvenlik güncelleştirmeleri yayımladı. Bu güncellemeler birden fazla kritik ve önemli güvenlik açığını ele alır. Bu açıktan başarıyla yararlanılırsa mevcut kullanıcı tarafında rastgele kod yürütme gerçekleşebilir.

Adobe, Windows üzerindeki Adobe Reader kullanıcılarının sınırlı saldırılarda CVE-2021-21017 suistimaline kurban gittiğinin raporunu aldı.

Etkilenen Sürümler

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

• Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     

• Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.      

• Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.   

IT yöneticileri için (yönetilen ortamlar):     

• Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.

• AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin. 

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Güvenlik Açığı Detayları

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder. 

• Rapor eden kişinin ismi belirtilmemiştir (CVE-2021-21017)
• Nipun Gupta, Ashfaq Ansari ve Krishnakant Patil - CloudFuzz (CVE-2021-21041)
• Mark Vincent Yason (@MarkYason), Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
• Xu Peng, UCAS ve Wang Yanhao, QiAnXin Technology Research Institute  - Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
• AIOFuzzer, Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
• Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360CDSRC (CVE-2021-21037)
• CERT/CC'den Will Dormann (CVE-2021-21045)
•  Xuwei Liu (shellway) (CVE-2021-21046)
• Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 胖 (CVE-2021-21037)
• Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 360政企安全漏洞研究院 (CVE-2021-21037)
• Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki 蚂蚁安全光年实验室基础研究小组 (CVE-2021-21037)
• Tianfu Cup 2020 Uluslararası Siber Güvenlik Yarışmasındaki CodemMaster (CVE-2021-21037)
•  Xinyu Wan (wxyxsx) (CVE-2021-21057)
• Haboob Labs (CVE-2021-21060)
• Ken Hsu, Palo Alto Networks (CVE-2021-21058)
• Ken Hs, Palo Alto Networks, Heige (SuperHei), Knwonsec 404 Ekibi (CVE-2021-21059)
• Ken Hsu, Bo Qu, Palo Alto Networks (CVE-2021-21062)
• Ken Hsu, Zhibin Zhan, Palo Alto Networks (CVE-2021-21063)
• Mateusz Jurczyk, Google Project Zero (CVE-2021-21086)
• Simon Rohlmann, Vladislav Mladenov, Christian Mainka ve Jörg Schwenk, Ağ ve Veri Güvenliği Başkanı, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Değişiklikler

10 Şubat 2021: CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063 için güncellenen bilgilendirmeler.

10 Mart 2021: CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021 için güncellenen bilgilendirmeler

17 Mart 2021: CVE-2021-21086, CVE-2021-21088 ve CVE-2021-21089 için detaylar eklendi.

26 Mart 2021: CVE-2021-28545 ve CVE-2021-28546 için detaylar eklenmiştir.

29 Eylül 2021 Çarşamba: CVE-2021-40723 için detaylar eklenmiştir