Adobe Güvenlik Bülteni

Ara

Son güncelleme: 26 Oca 2022

Adobe Acrobat ve Reader için Güvenlik Güncellemeleri Mevcut | APSB22-01

Bülten No	Yayınlandığı Tarih	Öncelik
APSB22-01	11 Ocak 2022	2

Özet

Adobe, Windows ve MacOS'de Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, birden fazla  kritik, önemli ve orta dereceli güvenlik açığını giderir. Başarılı bir istismar, rastgele kod yürütülmesine, bellek sızıntısına, uygulama hizmet reddine, güvenlik özelliği atlama ve ayrıcalık yükseltme.

Etkilenen Sürümler

Ürün	Track	Etkilenen Sürümler	Platform
Acrobat DC	Continuous	21.007.20099 ve önceki sürümleri	Windows
Acrobat Reader DC	Continuous	21.007.20099 ve önceki sürümleri	Windows
Acrobat DC	Continuous	21.007.20099 ve önceki sürümleri	macOS
Acrobat Reader DC	Continuous	21.007.20099 ve önceki sürümleri	macOS

Acrobat 2020	Classic 2020	20.004.30017 ve önceki sürümleri	Windows & macOS
Acrobat Reader 2020	Classic 2020	20.004.30017 ve önceki sürümleri	Windows & macOS

Acrobat 2017	Classic 2017	17.011.30204  ve önceki sürümler	Windows & macOS
Acrobat Reader 2017	Classic 2017	17.011.30204  ve önceki sürümler	Windows & macOS

Acrobat DC ile ilgili sorular için, lütfen Acrobat DC FAQ page adresini ziyaret edin.

Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC SSS sayfasını adresini ziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.     
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):     

Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya onmacOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:   

Ürün	Track	Güncel Sürümler	Platform	Öncelik Derecelendirmesi	Bulunma Durumu
Acrobat DC	Continuous	21.011.20039	Windows ve macOS	2	Sürüm Notları
Acrobat Reader DC	Continuous	21.011.20039	Windows ve macOS	2	Sürüm Notları

Acrobat 2020	Classic 2020	20.004.30020	Windows ve macOS	2	Sürüm Notları
Acrobat Reader 2020	Classic 2020	20.004.30020	Windows ve macOS	2	Sürüm Notları

Acrobat 2017	Classic 2017	17.011.30207	Windows ve macOS	2	Sürüm Notları
Acrobat Reader 2017	Classic 2017	17.011.30207	Windows ve macOS	2	Sürüm Notları

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	CVSS baz skoru	CVSS vektörü	CVE Numarası
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44701
Bilgi Açığa Çıkması (CWE-200)	Ayrıcalığı yükseltme	Orta Dereceli	3.1	CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-44702
Yığın Tabanlı Arabellek Aşımı (CWE-121)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44703
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44704
Başlatılmamış İşaretçiye Erişim (CWE-824)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44705
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44706
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44707
Yığın Tabanlı Arabellek Aşımı (CWE-122)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44708
Yığın Tabanlı Arabellek Aşımı (CWE-122)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44709
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44710
Tamsayı Taşması veya Başa Sarmalı (CWE-190)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-44711
Uygunsuz Giriş Doğrulaması (CWE-20)	Uygulama hizmet engelleme	Önemli	4.4	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L	CVE-2021-44712
Use After Free (CWE-416)	Uygulama hizmet engelleme	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H	CVE-2021-44713
Güvenli Tasarım İlkelerinin İhlali (CWE-657)	Güvenlik özelliği atlatması	Orta Dereceli	2.5	CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-44714
Sınır Dışı Okuma (CWE-125)	Bellek Sızıntısı	Orta Dereceli	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-44715
Bilgi Açığa Çıkması (CWE-200)	Ayrıcalığı yükseltme	Orta Dereceli	3.1	CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-44739
NULL İmleç Referanstan Ayrılma (CWE-476)	Uygulama hizmet engelleme	Orta Dereceli	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L	CVE-2021-44740
NULL İmleç Referanstan Ayrılma (CWE-476)	Uygulama hizmet engelleme	Orta Dereceli	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L	CVE-2021-44741
Sınır Dışı Okuma (CWE-125)	Bellek Sızıntısı	Orta Dereceli	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-44742
Sınır Dışı Okuma (CWE-125)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-45060
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-45061
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-45062
Use After Free (CWE-416)	Ayrıcalığı yükseltme	Orta Dereceli	3.3	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-45063
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-45064
Arabellek Sona Erdikten Sonra Bellek Konumu Erişimi (CWE-788)	Bellek Sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2021-45067
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-45068

Teşekkür

Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki kişilere teşekkür eder:

Trend Micro Zero Day Initiative ile birlikte çalışan Ashfaq Ansari ve Krishnakant Patil - HackSys Inc (CVE-2021-44701)
j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
Zscaler'ın ThreatLabz'ından Kai Lu (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
TianfuCup aracılığıyla PangU (CVE-2021-44704)
TianfuCup aracılığıyla StakLeader (CVE-2021-44705)
TianfuCup aracılığıyla Kunlun Lab'den bee13oy (CVE-2021-44706)
Güvenlik Açığı Araştırma Enstitüsü Juvenile Via TianfuCup (CVE-2021-44707)
Jaewon Min ve Aleksandar Nikolic of Cisco Talos (CVE-2021-44710, CVE-2021-44711)
Sanjeev Das (sd001) (CVE-2021-44712)
Qihoo 360'tan Rocco Calvi (TecR0c) ve Steven Seeley (CVE-2021-44713, CVE-2021-44715)
chamal (chamal) (CVE-2021-44714)
Baidu Security'nin fr0zenrain'i (fr0zenrain) (CVE-2021-44742)
Trend Micro Zero Day Initiative ile anonim çalışma (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)