Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Acrobat e Reader

Data de lançamento: 14 de julho de 2015

Identificador de vulnerabilidade: APSB15-15

Prioridade: Consulte a tabela abaixo

Números do CVE: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Plataformas: Windows e Macintosh

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.   

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC Contínuo 2015.007.20033
Windows e Macintosh
Acrobat Reader DC Contínuo 2015.007.20033
Windows e Macintosh
       
Acrobat DC Clássico 2015.006.30033
Windows e Macintosh
Acrobat Reader DC Clássico 2015.006.30033
Windows e Macintosh
       
Acrobat XI N/D 11.0.11 e versões anteriores Windows e Macintosh
Acrobat X N/D 10.1.14 e versões anteriores Windows e Macintosh
       
Reader XI N/D 11.0.11 e versões anteriores Windows e Macintosh
Reader X N/D 10.1.14 e versões anteriores Windows e Macintosh

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC. Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.   

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes por meio de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.  
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.  

Para administradores de TI (ambientes gerenciados):  

  • Faça download dos instaladores empresariais em ftp://ftp.adobe.com/pub/adobe/ ou consulte a a nota de versão específica para obter os links dos instaladores.  
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM (Windows), ou no Macintosh, Apple Remote Desktop e em SSH. 
Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Contínuo 2015.008.20082
Windows e Macintosh
2

Windows

Macintosh

Acrobat Reader DC Contínuo 2015.008.20082
Windows e Macintosh 2 Centro de downloads
           
Acrobat DC Clássico 2015.006.30060
Windows e Macintosh 2

Windows

Macintosh

Acrobat Reader DC Clássico 2015.006.30060
Windows e Macintosh 2

Windows

Macintosh

           
Acrobat XI N/D 11.0.12 Windows e Macintosh 2

Windows

Macintosh

Acrobat X N/D 10.1.15 Windows e Macintosh 2

Windows

Macintosh

           
Reader XI N/D 11.0.12 Windows e Macintosh 2

Windows

Macintosh

Reader X N/D 10.1.15 Windows e Macintosh 2

Windows

Macintosh

Detalhes da vulnerabilidade

  • Essas atualizações resolvem uma vulnerabilidade de estouro de buffer que pode levar à execução de código (CVE-2015-5093).  
  • Essas atualizações resolvem vulnerabilidades de estouro de buffer que podem levar à execução de código (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Essas atualizações resolvem uma vulnerabilidade de vazamento de informações (CVE-2015-5107).  
  • Essas atualizações resolvem vulnerabilidades de falha de segurança que podem levar à divulgação de informações (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Essas atualizações resolvem uma vulnerabilidade de estouro de pilha que pode levar à execução de código (CVE-2015-5110). 
  • Essas atualizações resolvem vulnerabilidades de uso após período gratuito que podem levar à execução de código (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Essas atualizações resolvem um problema de falha de validação que pode ser explorado para executar o escalonamento de privilégio de nível baixo a nível médio de integridade (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Essas atualizações resolvem um problema de falha de validação que pode ser explorado para causar uma condição de negação do serviço no sistema afetado (CVE-2015-5091).  
  • Essas atualizações resolvem vulnerabilidades de estouro de números inteiros que podem levar à execução de código (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Essas atualizações resolvem vários métodos para ignorar restrições na execução de API de JavaScript (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Essas atualizações resolvem problemas de não referência a um ponteiro que poderia levar a uma condição de negação de serviço (CVE-2015-4443, CVE-2015-4444). 

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:

  • AbdulAziz Hariri E Jasiel Spelman DA HP Zero Day Initiative (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri da HP Zero Day Initiative (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ da Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)  
  • bilou que trabalha no VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Brian Gorenc da HP Zero Day Initiative (CVE-2015-5100, CVE-2015-5111) 
  • Equipe de investigação sobre segurança no MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw do Google Project Zero (CVE-2015-4446) 
  • Jihui Lu do KeenTeam (CVE-2015-5087) 
  • JinCheng Liu, da Alibaba Security Research Team (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Keen Team trabalhando no projeto Zero Day Initiative da HP (CVE-2015-5108) 
  • kernelsmith trabalhando no projeto Zero Day Initiative da HP (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk do Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe do projeto HP Zero Day Initiative (CVE-2015-4445) 
  • Mauro Gentile da Minded Security (CVE-2015-5092) 
  • Nicolas Joly trabalhando no projeto Zero Day Initiative da HP (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei Lei e Wu Hongjun da Universidade Tecnológica de Nanyang (CVE-2014-0566) 
  • Wu Ha da Alibaba Security Research Team (CVE-2015-4443, CVE-2015-4444)