リモートのmacOSホストにインストールされているAdobe Readerのバージョンは、2017.011.30188以前、2020.001.30018以前、または2020.013.20074以前です。したがって、複数の脆弱性の影響を受けます。

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、ヒープベースのバッファオーバーフローの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21017）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、メモリ解放後使用（Use After Free）の脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。
    この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。
    （CVE-2021-21021、CVE-2021-21028、CVE-2021-21033、CVE-2021-21035、CVE-2021-21039、CVE-2021-21040）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、領域外読み取りの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストにおいてローカルで権限を昇格する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。
    （CVE-2021-21034）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、整数オーバーフローの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21036）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、パストラバーサルの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。
    この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。
    （CVE-2021-21037）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、領域外書き込みの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21038、CVE-2021-21044）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、Use-After-Freeの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。
    この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。
    （CVE-2021-21041）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、領域外読み取りの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストにおいてローカルで権限昇格する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。
    （CVE-2021-21042）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、不適切なアクセスコントロールの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストにおいて権限を昇格する可能性があります。
    （CVE-2021-21045）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、メモリ破損の脆弱性の影響を受けます。承認されていない攻撃者が、この脆弱性を悪用して、アプリケーションサービス拒否を引き起こす可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21046）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、特別に細工されたPDFファイルを解析する際にNULLポインターのデリファレンスの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストでサービス拒否を引き起こす可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21057）

  - Acrobat Reader DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、特別に細工されたPDFファイルを解析する際にメモリー破損の脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで任意コードを実行する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063）

  - Adobe Acrobat Pro DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、不適切な入力検証の脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで秘密情報を漏洩する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21060）

  - Acrobat Pro DCバージョン2020.013.20074（およびそれ以前）、2020.001.30018（およびそれ以前）、そして2017.011.30188（およびそれ以前）は、特別に細工されたPDFファイルを解析する際にUse-After-Freeの脆弱性の影響を受けます。認証されていない攻撃者がこの脆弱性を利用し、現在のユーザーのコンテキストで秘密情報を漏洩する可能性があります。この問題を悪用するにはユーザーの操作が必要で、被害者が悪意のあるファイルを開く必要があります。（CVE-2021-21061）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Adobe Reader <= 2017.011.30188/2020.001.30018/2020.013.20074の複数の脆弱性（APSB21-09）（macOS）

high Nessus プラグイン ID 146423

バージョン 1.17

バージョン 1.16

バージョン 1.17 Jan 22, 2024, 3:14 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C") Exploit attributes ("Exploited by malware" set to "True") Plugin Feed: 202401221514
バージョン 1.16 Apr 25, 2023, 11:11 PM CVSS temporal metrics (Adjust exploitability metrics for CISA KEV vulnerabilities) Plugin Feed: 202304252311