首页 云计算

云安全日报210714:Adobe Acrobat和Reader软件发现任意代码执行漏洞,需要尽快升级

Adobe Acrobat和Reader是美国Adobe公司PDF文档软件,Adobe Reader免费使用,可查阅PDF文档,无法进行修改加水印等编辑操作,而Adobe Acrobat则是收费的,除了基本查阅PDF外,可进行高级编辑操作。

7月13日,Adobe发布了Adobe Acrobat和Reader的预通知安全公告,这些更新修复了其中发现的任意代码执行等重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://helpx.adobe.com/security/products/acrobat/apsb21-51.html

1.CVE-2021-28641,CVE-2021-28639 CVSS评分:8.8 严重程序:危急

该漏洞主要是由于在释放内存后引用内存导致程序崩溃、从而破坏有效数据,执行任意代码。

2.CVE-2021-28642 CVSS评分:8.8 严重程序:危急

软件存在越界写入漏洞,在预期缓冲区的末尾或开头之前写入数据。

3.CVE-2021-28638 CVSS评分:8.8 严重程序:危急

堆溢出条件是缓冲区溢出,其中可以覆盖的缓冲区分配在内存的堆部分中,通常意味着缓冲区是使用诸如 malloc() 之类的例程分配的。

4.CVE-2021-28634 CVSS评分:8.2 严重程序:危急

该软件使用来自上游组件的外部影响输入来构建全部或部分OS命令,但它不会中和或错误地中和特殊元素,这些元素在发送到下游组件时可能会修改预期的OS命令。

5.CVE-2021-28640 CVSS评分:8.0 严重程序:危急

该漏洞主要是由于在释放内存后引用内存导致程序崩溃、从而破坏有效数据,执行任意代码。

6.CVE-2021-28643 CVSS评分:7.8 严重程序:危急

程序使用一种类型分配或初始化资源,例如指针、对象或变量,但随后使用与原始类型不兼容的类型访问该资源。

7.CVE-2021-35983,CVE-2021-35981,CVE-2021-28635 CVSS评分:7.8 严重程序:危急

该漏洞主要是由于在释放内存后引用内存导致程序崩溃、从而破坏有效数据,执行任意代码。

8.CVE-2021-28637 CVSS评分:7.7 严重程序:危急

软件存在越界写入漏洞,在预期缓冲区的末尾或开头之前写入数据。这可能允许攻击者从其他内存位置读取敏感信息或导致崩溃。当代码读取可变数量的数据并假设存在停止读取操作的哨兵(例如字符串中的 NUL)时,可能会发生崩溃。预期的哨兵可能不在越界内存中,导致读取过多数据,导致分段错误或缓冲区溢出。软件可以修改索引或执行指针算术来引用缓冲区边界之外的存储位置。随后的读取操作会产生未定义或意外的结果。

9.CVE-2021-35980,CVE-2021-28644 CVSS评分:7.1 严重程序:危急

该软件使用外部输入来构造一个路径名,该路径名旨在识别位于受限父目录下的文件或目录,但该软件没有正确中和路径名中的特殊元素,这些元素可能导致路径名解析为位于受限目录之外。

10.CVE-2021-28636 CVSS评分:7.0 严重程序:危急

该产品使用固定或受控的搜索路径来查找资源,但该路径中的一个或多个位置可能处于非预期参与者的控制之下。

受影响的产品版本

Windows和macOS平台:

1.Acrobat DC Continuous 2021.005.20054 及更早版本          

2.Acrobat Reader DC Continuous 2021.005.20054及更早版本         

3.Acrobat 2020 Classic 2020.004.30005及更早版本

4.Acrobat Reader 2020 Classic 2020.004.30005及更早版本

5.Acrobat 2017 Classic 2017.011.30197及更早版本         

6.Acrobat Reader 2017 Classic 2017.011.30197及更早版本

解决方案

Adobe 建议用户按照以下说明将其软件安装更新到最新版本。    

最终用户可以通过以下方法之一获得最新的产品版本:    

用户可以通过选择“帮助”>“检查更新”来手动更新其产品安装。     

当检测到更新时,产品将自动更新,无需用户干预。     

可以从Acrobat Reader 下载中心下载完整的 Acrobat Reader 安装程序 。     

对于 IT 管理员(托管环境):     

有关安装程序的链接,请参阅特定的发行说明版本。     

通过您的首选方法安装更新,例如 AIP-GPO、引导程序、SCUP/SCCM (Windows),或在 macOS、Apple 远程桌面和 SSH 上安装更新。    

Windows和macOS平台:

1.Acrobat DC和Acrobat Reader DC Continuous 2021.005.20054及更早版本,升级至2021.005.20058版本可修复        

2.Acrobat 2020 Classic和Acrobat Reader 2020 Classic 2020.004.30005及更早版本,升级至2020.004.30006版本可修复   

3.Acrobat 2017和Acrobat Reader 2017 Classic 2017.011.30197及更早版本,升级至2017.011.30199版本可修复            

查看更多漏洞信息 以及升级请访问官网:

https://helpx.adobe.com/security.html

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多