高危保安警报 (A21-05-08): Adobe Reader/Acrobat 多个漏洞

描述:

有关 Adobe Reader 及 Acrobat 的安全更新已发布，以应对数个漏洞。远端攻击者可诱使目标用户开啓特製的PDF档案来攻击这些漏洞。

有报告指 Adobe Reader 中针对 Windows 用户的执行任意程式码漏洞 (CVE-2021-28550 ) 正受到攻击。系统管理员应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

受影响的系统:

• Acrobat DC (Windows) Continuous 2021.001.20150 和之前版本
• Acrobat Reader DC (Windows) Continuous 2021.001.20150 和之前版本
• Acrobat DC (macOS) Continuous 2021.001.20149 和之前版本
• Acrobat Reader DC (macOS) Continuous 2021.001.20149 和之前版本
• Acrobat 2020 (Windows 及 macOS) Classic 2020 2020.001.30020 和之前版本 
• Acrobat Reader 2020 (Windows 及 macOS) Classic 2020 2020.001.30020 和之前版本
• Acrobat 2017 (Windows 及 macOS) Classic 2017 2017.011.30194 和之前版本
• Acrobat Reader 2017 (Windows 及 macOS) Classic 2017 2017.011.30194 和之前版本

影响:

成功利用这些漏洞可在受影响的系统导致执行任意程式码、权限提升及泄漏资讯。

建议:

受影響系統的用戶應更新 Adobe Reader 及 Acrobat 至以下版本以應對以上問題。更新可透過產品本身的自動更新機制或下列網址更新其軟件:受影响系统的用户应更新 Adobe Reader 及 Acrobat 至以下版本以应对以上问题。更新可透过产品本身的自动更新机制或下列网址更新其软件:

• Acrobat DC (Windows 及 macOS) Continuous 2021.001.20155
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-track
• Acrobat Reader DC (Windows 及 macOS) Continuous 2021.001.20155
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-track
• Acrobat 2020 (Windows 及 macOS) Classic 2020 2020.001.30025
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-track
• Acrobat Reader 2020 (Windows 及 macOS) Classic 2020 2020.001.30025
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-track
• Acrobat 2017 (Windows 及 macOS) Classic 2017 2017.011.30196
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3
• Acrobat Reader 2017 (Windows 及 macOS) Classic 2017 2017.011.30196
  https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3

进一步信息:

• https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
• https://www.hkcert.org/tc/security-bulletin/adobe-monthly-security-update-may-2021
• https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/adobe-releases-security-updates-multiple-products
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21038
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21044
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21086
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28550
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28553
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28555
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28557 (to CVE-2021-28562)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28564
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28565