Beveiligingsupdates beschikbaar voor Adobe Acrobat en Reader

Releasedatum: 13 oktober 2015

Recentste update: 11 december 2015

ID kwetsbaarheidsprobleem: APSB15-24

Prioriteit: zie onderstaande tabel

CVE-nummers: CVE-2015-5583, CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6685, CVE-2015-6686, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-6691, CVE-2015-6692, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6696, CVE-2015-6697, CVE-2015-6698, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6705, CVE-2015-6706, CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7614, CVE-2015-7615, CVE-2015-7616, CVE-2015-7617, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7621, CVE-2015-7622, CVE-2015-7623, CVE-2015-7624, CVE-2015-7650, CVE-2015-8458

Platform: Windows en Macintosh

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Acrobat en Reader voor Windows en Macintosh. Deze updates verhelpen kritieke kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle verkrijgt over het betreffende systeem.

Van toepassing op de volgende versies

Product Track-abonnement Van toepassing op de volgende versies Platform
Acrobat DC Doorlopend 2015.008.20082 en eerdere versies
Windows en Macintosh
Acrobat Reader DC Doorlopend 2015.008.20082 en eerdere versies
Windows en Macintosh
       
Acrobat DC Klassiek 2015.006.30060 en eerdere versies
Windows en Macintosh
Acrobat Reader DC Klassiek 2015.006.30060 en eerdere versies
Windows en Macintosh
       
Acrobat XI Desktop 11.0.12 en eerdere versies Windows en Macintosh
Reader XI Desktop 11.0.12 en eerdere versies Windows en Macintosh
       
Acrobat X Desktop 10.1.15 en eerdere versies Windows en Macintosh
Reader X Desktop 10.1.15 en eerdere versies Windows en Macintosh

Voor vragen over Acrobat DC gaat u naar de pagina met veelgestelde vragen over Acrobat DC. Voor vragen over Acrobat Reader DC gaat u naar de pagina met veelgestelde vragen over Acrobat Reader DC.   

Oplossing

Adobe raadt gebruikers aan om hun software bij te werken naar de nieuwste versies door de onderstaande instructies te volgen.

De nieuwste productversies zijn beschikbaar voor eindgebruikers via een van de volgende methoden:

  • Gebruikers kunnen hun productinstallaties handmatig bijwerken door Help > Controleren op updates te kiezen.
  • De producten worden automatisch bijgewerkt, zonder tussenkomst van de gebruiker, wanneer updates worden gedetecteerd. 
  • Het volledige Acrobat Reader-installatieprogramma kan worden gedownload via het Acrobat Reader Download Center.

Voor IT-beheerders (beheerde omgevingen): 

  • Download de zakelijke installatieprogramma's via ftp://ftp.adobe.com/pub/adobe/ of raadpleeg de specifieke versie van de release-opmerkingen voor koppelingen naar installatieprogramma's.
  • Installeer updates via uw voorkeursmethode, zoals AIP-GPO, bootstrapper, SCUP/SCCM (Windows) of Apple Remote Desktop en SSH (Macintosh).
Product Track-abonnement Bijgewerkte versies Platform Prioriteitsbeoordeling Beschikbaarheid
Acrobat DC Doorlopend 2015.009.20069
Windows en Macintosh
2 Windows
Macintosh
Acrobat Reader DC Doorlopend 2015.009.20069
Windows en Macintosh 2 Download Center
           
Acrobat DC Klassiek 2015.006.30094
Windows en Macintosh 2 Windows
Macintosh
Acrobat Reader DC Klassiek 2015.006.30094
Windows en Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.13 Windows en Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.13 Windows en Macintosh 2 Windows
Macintosh
           
Acrobat X Desktop 10.1.16 Windows en Macintosh 2 Windows
Macintosh
Reader X Desktop 10.1.16 Windows en Macintosh 2 Windows
Macintosh

Details van kwetsbaarheid

  • Deze updates verhelpen een kwetsbaarheid voor bufferoverloop die tot openbaarmaking van informatie kan leiden (CVE-2015-6692).
  • Deze updates verhelpen 'use-after-free'-kwetsbaarheden die tot code-uitvoering kunnen leiden (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683).
  • Deze updates verhelpen kwetsbaarheden voor heapbufferoverloop die tot code-uitvoering kunnen leiden (CVE-2015-6696, CVE-2015-6698, CVE-2015-8458).
  • Deze updates verhelpen kwetsbaarheden voor geheugenbeschadiging die tot code-uitvoering kunnen leiden (-2015-6685, -2015-6693, -2015-6694, -2015-6695, -2015-6686, CVE-2015-7622, CVE-2015-7650, CVE-, CVE-, CVE-, CVE-, CVE-
  • Deze updates verhelpen kwetsbaarheden voor geheugenlekkage (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697).
  • Deze updates verhelpen kwetsbaarheden voor het omzeilen van beveiliging die tot openbaarmaking van informatie kunnen leiden (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624).
  • Deze updates verhelpen verschillende methoden om beperkingen voor het uitvoeren van de JavaScript-API te omzeilen (CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7623, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715).

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun inspanningen om samen met Adobe onze klanten te beschermen:

  • AbdulAziz Hariri van HP Zero Day Initiative (CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6697, CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6707)
  • AbdulAziz Hariri en Jasiel Spelman van HP Zero Day Initiative (CVE-2015-5583, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704)
  • Alex Inführ van Cure53.de (CVE-2015-6705, CVE-2015-6706)
  • Bill Finlayson van Vectra Networks (CVE-2015-6687)
  • bilou die samenwerkt met VeriSign iDefense Labs (CVE-2015-6684)
  • Brian Gorenc van HP Zero Day Initiative (CVE-2015-6686)
  • Francis Provencher van COSIG (CVE-2015-7622)
  • Jaanus Kp van Clarified Security die samenwerkt met HP Zero Day Initiative (CVE-2015-6696, CVE-2015-6698)
  • Jack Tang van TrendMicro (CVE-2015-6692)
  • James Loureiro van MWR Labs (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • kdot in samenwerking met het Zero Day Initiative van HP (CVE-2015-7621, CVE-2015-7650)
  • Matt Molinyawe en Jasiel Spelman van HP Zero Day Initiative (CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620)
  • Matt Molinyawe van HP Zero Day Initiative (CVE-2015-7623)
  • WanderingGlitch van HP Zero Day Initiative (CVE-2015-6713, CVE-2015-6714, CVE-2015-6715)
  • Wei Lei en Wu Hongjun van Nanyang Technological University (CVE-2015-5586)
  • Wei Lei en ook Wu Hongjun van Nanyang Technological University die samenwerken met Verisign iDefense Labs (CVE-2015-6683)
  • AbdulAziz Hariri en Jasiel Spelman of HP Zero Day Initiative voor hun bijdragen aan diepteverdediging
  • Fritz Sands in samenwerking met het Zero Day Initiative van HP (CVE-2015-8458)

Revisies

14 oktober 2015: foutieve CVE-details en dankbetuigingen gecorrigeerd

29 oktober 2015: er is een verwijzing naar CVE-2015-7829 toegevoegd, die als een kwetsbaarheid in Acrobat en Reader is gemeld, maar die via een beveiligingsoplossing in Windows is opgelost. De referentie hiervoor is MS-15-090.  Er is ook een verwijzing toegevoegd naar CVE-2015-7650, die in de release van 13 oktober van Acrobat en Reader is opgelost (maar die per ongeluk niet in de bulletins staat). 

11 december 2015: er is ook een verwijzing toegevoegd naar CVE-2015-8458, die in de release van 13 oktober van Acrobat en Reader is opgelost (maar die per ongeluk niet in de bulletins staat).