Adobe waarschuwt voor zeroday-kwetsbaarheid in Acrobat en Reader

Adobe waarschuwt voor een kwetsbaarheid in Adobe Acrobat en Reader voor Windows en macOS die actief wordt aangevallen. Aanvallers kunnen daarmee controle over onderliggende systemen krijgen via een heap-based buffer overflow.

Dat schrijft het bedrijf in een Security Bulletin. De meest recente security-update, APSB21-09 van Adobe Acrobat en Reader pakt een aantal kritieke en belangrijke kwetsbaarheden aan in Acrobat, Magento, Photoshop, Animate, Illustrator en Dreamweaver. De belangrijkste is een kwetsbaarheid in Acrobat en Reader: succesvolle exploitatie daarvan geeft een aanvaller de mogelijkheid tot arbitrary code execution. Dat wil zeggen dat een aanvaller code kan uitvoeren in het besturingssysteem van een slachtoffer. Adobe zegt dat deze kwetsbaarheid, CVE-2021-21017, actief is misbruikt in het wild. Deze kwetsbaarheid veroorzaakt een heap-based buffer overflow, waarna deze misbruikt kan worden.

Adobe raadt gebruikers aan zo snel mogelijk Adobe DC of Acrobat Reader DC, Acrobat en Reader 2017 en Acrobat en Reader 2020 te updaten om deze serieuze kwetsbaarheid te dichten, omdat deze bewezen kan leiden tot misbruik. Het gaat om software op zowel Windows als macOS. In totaal fixen de updates 23 kwetsbaarheden, waarvan Adobe er 17 'Kritiek' acht. De rest beoordeelt het als 'Belangrijk'. Het gaat om meerdere buffer overflow-bugs, maar ook bijvoorbeeld een improper access control die een aanvaller de mogelijkheid geeft om meer rechten te krijgen waardoor zij meer functies kunnen uitvoeren op een systeem.

Behalve voor Acrobat en Reader meldt Adobe ook kwetsbaarheden voor Magento, Illustrator, Animate en Dreamweaver.

Bug CVE-2021-21017 werd anoniem gerapporteerd aan Adobe. Adobe zegt dat het heeft gezien dat de kwetsbaarheid is misbruikt in het wild, maar verdere details geeft het bedrijf niet. Daardoor is het niet bekend wie er slachtoffer is geworden van de kwetsbaarheid en of hier kritieke gegevens mee zijn buitgemaakt, maar volgens Adobe gaat het om 'beperkte aanvallen' gericht op Adobe Reader-gebruikers die Windows draaien.

Security.nl meldt dat tegelijk met het securitybulletin van Adobe ook Windows met een update voor een zeroday is gekomen. Via deze kwetsbaarheid in Win32 kan een aanvaller die bijvoorbeeld misbruik maakt van de kwetsbaarheid in Acrobat en Reader, zijn privileges op het systeem verhogen. Die update wordt op de meeste systemen zo snel mogelijk automatisch geïnstalleerd.

Door Stephan Vegelien

Redacteur

12-02-2021 • 16:59

59

Submitter: GR161803

Reacties (59)

Sorteer op:

Weergave:

Zou Firefox als PDF reader ook geraakt zijn? Meer en meer webbrowsers ondersteunen namelijk PDF bestand kijken in de browser. Dat is heel handig. Op dit moment waarschinlijk met uitzondering van PDF bestanden waarbij je meer kan, zoals een verzekering formulier in PDF aangeleverd waarbij je op een invoer veld drukt en dan invoer kan geven, en na invullen van in de PDF document zelf het PDF uiteindelijk weer op kan slaan. En dan versturen terug naar de verzekeraar, als voorbeeld. Op Linux kan ik dergelijke formulieren overigens downloaden en openen voor een verzekeraar en gewoon invullen en opslaan en terugsturen.
Firefox gebruikt PDF.js (welke ook forms ondersteunt!). Lijkt erop dat bij deze kwetsbaarheid alleen software van Adobe is getroffen.
Onder Windows gebruik ik ook Okular, als ik het nodig heb en het gebruik van cross-platform vrije software is over het algemeen mijn insteek. Dan weet ik in ieder geval dat er openheid is over bugs en dat zo nodig eraan gewerkt wordt om ze te verhelpen.
Snap niet hoe 'improper access control' kan optreden? In dat geval moet het lek toch in het OS zitten en niet in Adobe?
Omdat PDF niet slechts een document is, maar een uitgebreide programmeer-omgeving.

Bijvoorbeeld bij het volgende is prima improper access control mogelijk:
Many of the methods in Acrobat JavaScript are restricted for security reasons, and their execution is only allowed during batch, console or menu events. The Acrobat JavaScript Scripting Reference identifies these methods by a padlock symbol in the quick bar. This restriction is a limitation when enterprise customers try to develop solutions that require these methods and know that their environment is secure.
Bron: https://www.adobe.com/con...bat/pdfs/Acro6JSGuide.pdf
Ik heb al lang geen losse PDF reader meer, ik gebruik de ingebouwde PDF viewers van Edge en OneDrive.
Ik erger me juist dood aan al die ingebouwde reader waardoor je maar een beperkt gedeelte ziet etc. Download 99% van de bestanden om hem vervolgens met een dedicated reader te bekijken. Iedereen zijn workflow!
Plus die ingebouwde lezers zijn niet altijd even snel/vloeiend, wat nogal vervelend is als je een pdf'je van meer dan een paar pagina's wilt lezen.
De reden dat ik Edge gebruik is omdat het juist een stuk lekkerder aanvoelt dan die logge Adobe Reader.
Als het gaat om het logge zou je op Windows eventueel ook SumatraPDF kunnen gebruiken.
https://www.sumatrapdfreader.org/free-pdf-reader.html
BitDefender protesteert in alle toonaarden als ik dit progje via de originele website probeer te downloaden, meldt dat de webpagina geïnfecteerd is:
Gevaarlijke pagina voor uw bescherming geblokkeerd
Gevaarlijke pagina's proberen software te installeren die het apparaat kan beschadigen, persoonlijke gegevens kan verzamelen of zonder uw toestemming handelingen kan stellen.
En als ik eigenwijs probeer door te gaan,nogmaals een blokkering met de melding:
Geïnfecteerde webpagina gedetecteerd
We hebben deze gevaarlijke pagina voor uw bescherming geblokkeerd:
https://kjkpubsf.sfo2.dig...traPDF-3.2-64-install.exe
Ik download deze van hier en heb voorlopig nog geen meldingen van defender gehad
https://www.sumatrapdfrea...umatraPDF-3.2-install.exe
Als ik op die link klik, blijkt dat te wijzen naar SumatraPDF-3.2-install.exe.htm
en die stuurt me door naar
https://kjkpubsf.sfo2.dig...umatraPDF-3.2-install.exe
die als bedreiging door Bitdefender wordt geblokkeerd!
Dit gebeurt bij alle 4 download opties (zip, exe, 32bit, 64bit)
Echter niet bij oudere versie
https://www.sumatrapdfrea...aPDF-3.1.2-64-install.exe
Zal dus toch wel liggen aan de site digitaloceanspaces.com die vaak voor phishing misbruikt wordt zoals via Google blijkt!
Na installatie blijkt het best handig en compact. En een controle op updates geeft aan dat versie 3.1.2 de meest recente update is...

[Reactie gewijzigd door erikmvh op 23 juli 2024 11:41]

Ja Adobe is idd bloatware onderhand.
Ben ik het niet helemaal mee eens. Wat Acrobat Reader X... zo groot maakt is o.a. de 3D PDF viewer die er standaard in zit.
Maar Adobe heeft fill & sign optie die ik veelvuldig gebruik. Veel mensen weten niet eens dat je PDF formulieren kunt invullen met Reader, die denken echt dat je pro nodig hebt.
Dat klopt, maar recent heb ik ontdekt dat LibreOffice Draw prima overweg kan met PDFjes.
De indeling blijft in orde en het hele bestand is te bewerken, in alles wat ik tot nu toe ben tegengekomen.
Helaas kan dit programma wel traag zijn op bepaalde punten, maar als ik wat snellers wil gebruik ik Atril of de ingebouwde viewer van Firefox.
Dit is ook mogelijk met Edge tegenwoordig.
Daarom zei ik ook dat ze niet *altijd* even snel zijn. Er zijn inderdaad uitzonderingen.
Plus die ingebouwde lezers zijn niet altijd even snel/vloeiend, wat nogal vervelend is als je een pdf'je van meer dan een paar pagina's wilt lezen.
Heb er nog nooit problemen mee gehad. Zelfs overheidspublicaties en wetenschappelijke publicaties van een paar honderd kantjes.

Probleem zal eerder bij de bron liggen, dwz welk stuk software de ondermaatse PDF in kwestie uitgekakt heeft, dan de reader.
... wetenschappelijke publicaties van een paar honderd kantjes.
Dat is dan ook gewoon een degelijke PDF render van LaTeX. PDFs met veel media erin gaan niet zo lekker in Edge, naar mijn ervaring.
Ik moet regelmatig datasheets bestuderen, of handboeken van soms meer dan 1000 pagina's.
Dan is Adobe XI voor mij toch duidelijk favoriet.
Kan er perfect mee lezen, navigeren en afdrukken.
Ik moet veel CAD tekeningen openen in PDF formaat die ik van de architect binnen krijg om er offertes op te maken. Andere readers dan die van Acrobat zijn dan echt wel onbruikbaar.
Acrobat heeft ook de optie om effectief te meten op de plannen. Iets wat mij bij de andere nog niet gelukt is. (Of ik mis ergens iets?)
Heb je ooit bluebeam geprobeerd?

Dat was wel mijn favoriet in m'n tijd als calculator. Wel betaald
Dat zou betekenen dat ik een werkgever zou hebben die zou willen betalen voor dat soort dingen. Nee, gaat hem niet worden ben ik bang. 🤣🤣🤣
Zonde! Want het scheelt ook tijd.

Xchange viewer kan ook meten en is gratis. Of die handiger is dan Acrobat weet ik niet
Ik ook, alleen het printen van de financiële overzicht bezorgd bij Egde en Chrome volle zwarte pagina's. Adobe heeft het document gewoon afgedrukt.
Ik gebruik al meer dan 10 jaar geen Adobe Reader.
Dit soort bugs zijn al zo vaak voorgekomen.
Het is ook een makkelijk doelwit voor hackers.
Een goed alternatief is wat mij betreft PDF-XChange
Voorheen gebruikte ik PDF-XChange Viewer maar dit is nu PDF-XChange Editor.
https://www.pdf-xchange.eu/pdf-xchange-editor/index.htm
De software is ook betaald maar de gratis versie werkt prima, zonder reclame.
Het aantal kritieke bugs dat bij deze software is voorgekomen is beduidend minder.
https://www.tracker-softw...df-xchange-editor/history

[Reactie gewijzigd door zalazar op 23 juli 2024 11:41]

Wie alleen een reader nodig heeft zou eigenlijk SumatraPDF eens moeten proberen. Daar ben ik op overgestapt m.n. omdat ik van de rommelige, gedateerde kerstboom UI van PDF-XChange af wilde. Sumatra is open source, super licht van gewicht, heeft een minimalistische interface en kan naast PDFs ook diverse eBook formaten weergeven. Meer heb ik persoonlijk niet nodig. Kleine codebase, dus minder kans op (security) bugs. De installatiemap is 20MB.

[Reactie gewijzigd door Roenie1 op 23 juli 2024 11:41]

Nu blinkt SumatraPDF niet echt uit in 'modern' en 'geweldig' op UI basis.

Maar verder in functionaliteit en inderdaad grootte is het een geweldig stukje software
Het grappige is dat het ook veel minder wordt gebruikt dus het niet vinden van bugs betekent niet dat het bug vrij is :p

Mja als het minder wordt gebruikt is het misbruik van eventuele bugs ook minder interessant
Misschien een hele domme vraag, maar hoe kan zoiets (relatief) simpels als een ingebouwde pdf reader in Edge geen kwetsbaarheden heeft, en de Adobe Reader wel? En hoe kan het dat een reader, die lek is, de gehele pc over laten nemen?
Ik lees nergens bij de originele bronnen dat de hele pc overgenomen kan worden met alleen deze kwetsbaarheid. Dat zou ook vreemd zijn want meestal gebruik je software met de rechten die minimaal nodig zijn, niet met zo veel mogelijk rechten. Er staat in de toevoeging van dit bericht ook iets belangrijks over. Als iemand misbruik maakt van de kwetsbaarheid in Acrobat en Reader kan die daarna via kwetsbaarheid in win32 van microsoft zijn privileges op het systeem verhogen. En dan heb je dus pas rechten die in de buurt komen dat je een hele pc hebt overgenomen. Want zelfs dan hangt het van andere beveiliging af wat je met die rechten kan doen.

Om je eerste vraag te beantwoorden is het handig om eerst te bedenken wat het verschil is tussen kwetsbaarheden waar je wel iets van hoort en wat het betekent als je niets hoort. Als niemand er iets van zegt als jou fiets niet op slot staat wil dat niet zeggen dat er niets aan de hand is. En als die fiets in een bewaakte stalling blijkt te staan dan is dat misschien niet zo'n groot probleem. Als er al fouten in een pdf reader van een browser worden gevonden kan het dus zo zijn dat die browser ook andere beveiliging heeft waardoor die fout in de praktijk geen kwetsbaarheid is die je kan gebruiken.
Bedankt voor je uitleg. Heb het artikel nogmaals gelezen en klopt inderdaad dat er nergens expliciet staat dat je hele pc overgenomen kan worden.
Daarnaast hebben Arcobat en Reader veel meer functionaliteit tov de Edge plugin. Weinig mensen gebruiken alleen die extra functionaliteit
Beetje laat niet? Deze update was er dinsdag al.

De update installeert overigens niet als er niemand is aangemeld op de PC omdat men voor een stukje van de update interactie met de desktop wil doen. Daarvoor werkt men nog aan een oplossing.
Hoe doe je dat, het updaten van Acrobat?
In het Help menu kan je controleren op updates.. maar dat doe ik zojuist en hij vindt dat hij al up to date is. Misschien dat de auto-updater al aan de gang is geweest?
Als toevoeging, hier een overzicht van alle updates op de diverse licenties

https://helpx.adobe.com/n...notes-acrobat-reader.html
Dank jullie wel, de mijne was ook reeds up to date :-)
Als je Reader geopend hebt, kun je bovenaan op "Help" klikken en dan "Check for updates".
Bij mij was Acrobat Reader al automatisch up-to-date, zoals ook in het artikel staat.
Hoe doe je dat, het updaten van Acrobat?
Settings -> Apps -> Uninstall
En daarna de ingebouwde PDF reader van je browser gebruiken, die niet zo lek is als een vergiet. :+
Dat is geen Adobe!
Leg dan uit dat het een alternatief is en ALS je deze gaat gebruiken dat je Adobe moet verwijderen omdat anders de kwetsbaarheid alsnog op je systeem blijft staan...

ftp://ftp.adobe.com/pub/adobe/reader/win/

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:41]

En op de ftp staat de betreffende update niet (het is een rommeltje bij Adobe, niet alleen wat betreft hun software)

https://www.adobe.com/dev...tinuousfebtwentytwentyone
Via jouw link: 2100120135
Via FTP: 2001320064

Lekker handig van Adobe inderdaad... :-(

Edit: ik zie nu dat jij een link stuurt naar de Continuous versie, die gebruikt een normale thuisgebruiker niet...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:41]

Via bovenstaande FTP server haal ik al jaren de recente patches (.msp-files) af, en deploy deze naar meerdere machines (enterprise). Maar sinds enkele maanden wordt deze blijkbaar niet meer bijgewerkt. Terwijl Adobe er nog steeds naar verwijst om enterprise updates te downloaden (zie url hieronder).

Zowel patches voor de Continuous als de Classic track zijn hier te vinden:
https://www.adobe.com/dev...eleaseNotesDC/index.html#
Tnx @biest

Ik liep er net ook tegenaan dat ik de laatste MSP inderdaad niet kon vinden op de FTP.

CTRL + F MSP in dit artikel en jouw post hielp me meteen verder. Je had een +3 van me gehad als je post niet ouder was dan 48 uur ;-)
Ik gebruik Adobe XI. Vind ik absoluut super.
Dat is de laatste versie die zonder cloud werkt, zoals Adobe DC.
Misschien moet ik bij die laatste nieuwigheden leren om van dat cloudgedoe af te komen?
Tot op heden was DC een onhanteerbaar ding voor mij.

P.S.: ze proberen nog steeds McAfee bij je te infiltreren.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 11:41]

Je gebruikt ook nog Windows XP dan? Adobe Reader 10.x en 11.x zijn out of support, je kan beter upgraden of uitkijken naar een alternatieve PDF Reader.
ReaderXI is mature. Oftewel volwassen. Daar valt niets meer aan te verbeteren. :)
Al jaren geen gezeur over updates meer gehad!!!

En ik gebruik het hypermoderne Windows10.
Iedereen die zeurt over Acrobat: ik maak geen pdf's, ik lees ze. Met ReaderXI

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 11:41]

Iedereen die zeurt over Acrobat: ik maak geen pdf's, ik lees ze. Met ReaderXI
Dan kan je nog beter de pdf features in de browser gebruiken, dan een out of support programma
Dat er al jaren geen updates zijn, wil niet zeggen dat het veilig en 'volwassen' is zoals jij stelt

Foxitreader en Sumatra zijn dan ( naar smaak ) betere alternatieven.
Dat doe ik dus ook (nog steeds). Het nadeel is wel, omdat er geen support meer voor is, dat we niet weten of die kwetsbaarheid daar ook in zit. In alle 3 supported versies blijkt dat wel het geval.
Dat "cloudgedoe" kan je in een admin install uitschakelen als je er graag vanaf wil. Zie https://www.adobe.com/dev...k/tools/Wizard/index.html
Daarna kan je gewoon met MSP's patchen of upgraden via menu.

Je kan XI echt niet meer gebruiken, een verkeerd PDF-je openen en je bent onderdeel van een botnet of erger. :)
Dat "cloudgedoe" kan je in een admin install uitschakelen als je er graag vanaf wil.
Dat gaat over Acrobat for customisation wide employment. Niet over Reader.
Dan moet je eerst een Wizard instellen.
Ik ben bang dat dat om betaalde versie gaat en dat het specialistische kennis vereist.
Ben ik veels te stom voor.
Laat Adobe maar zorgen voor een simpele Reader install, eentje zonder cloud en zonder password van hunnie.

Wat ik nog niet wist: ReaderDC is niet eens gratis (kost $1.95/mnd)

Wat nog erger is: De Dutch versie is van 2019 en helemaal niet geupdate :(
De oude nederlandse Reader zal dus wel veilig zijn. Updaten is niet nodig.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 11:41]

Dan heb ik de verkeerde link bijgevoegd. Je hebt die tool ook voor de reader. Reader DC is er ook gewoon in het Nederlands.
Ik vind die Adobe pfd-software vreselijk. Ik snap dat het soms nodig is, maar laten wel alsjeblieft zorgen dat het de norm wordt om die handel niet te gebruiken.
Het lijkt wel Flash, qua kwetsbaarheden.

Op dit item kan niet meer gereageerd worden.