【ANA】【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!

發佈編號

TACERT-ANA-2021051404052020

發佈時間

2021-05-14 16:02:21

事故類型

ANA-漏洞預警

發現時間

2021-05-14 16:02:21

影響等級

   

[主旨說明:]【漏洞預警】Adobe AcrobatReader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!

[內容說明:]

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202105-0421

 

Adobe釋出的安全性公告中提出Adobe AcrobatReader存在下列多項漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼之連結或檔案,進而利用漏洞執行任意程式碼。

 

1. 越界寫入(Out-of-Bounds Write)漏洞:CVE-2021-28564CVE-2021-21044CVE-2021-21038CVE-2021-21086

2. 越界讀取(Out-of-Bounds Read) 漏洞:CVE-2021-28555CVE-2021-28557CVE-2021-28565

3. 使用釋放後記憶體(Use After Free) 漏洞:CVE-2021-28550CVE-2021-28553CVE-2021-28562

4. 堆積型緩衝區溢位(Heap-based Buffer Overflow) 漏洞:CVE-2021-28558CVE-2021-28560

5. 緩衝區溢位(Buffer Overflow) 漏洞:CVE-2021-28561

6. 暴露私人資訊(Exposure of Private Information) 漏洞:CVE-2021-28559

 

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

以下所有程式之WindowsMacOS版本:

1.Continuous track versions

•Acrobat DC Continuous track

Windowsversions 2021.001.20150()以前版本

MacOSversions 2021.001.20149()以前的版本

 

•Acrobat Reader DC Continuous track

Windowsversions 2021.001.20150()以前的版本

MacOSversions 2021.001.20149()以前的版本

 

2.Classic 2017 versions

•Acrobat 2017 Classic 2017 versions 2017.011.30194()以前版本

•Acrobat Reader 2017 Classic 2017 versions 2017.011.30194()以前版本

 

3. Classic 2020 versions

•Acrobat 2020 Classic 2020 versions 2020.001.30020()以前版本

•Acrobat Reader 2020 Classic 2020 versions 2020.001.30020()以前版本

[建議措施:]

1.請確認電腦目前使用版本,若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動AcrobatReader程式,點選「說明」「關於」,確認版本後可點選「說明」「檢查更新」安裝更新程式。

 

2. WindowsMacOS版本亦可至下列網址進行更新:

(1)Continuous track version更新至2021.001.20155以後版本:

Acrobat DChttps://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-trackAcrobat

 

Reader DChttps://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-track

 

(2)Classic 2017 versions更新至2017.011.30196 以後版本:

Acrobat 2017https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3Acrobat

 

Reader 2017https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3

 

(3) Classic 2020 versions更新至2020.001.30025以後版本:

Acrobat 2020https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-trackAcrobat

 

Reader 2020https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-track

[參考資料:]
1. https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
2. https://thehackernews.com/2021/05/alert-hackers-exploit-adobe-reader-0.html
3. https://www.ithome.com.tw/news/144348