Freigabedatum: 9. Dezember 2014
Kennung der Sicherheitslücke: APSB14-28
Priorität: Siehe Tabelle unten
CVE-Nummern: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Plattform: Windows und Macintosh
Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
- Anwendern von Adobe Reader XI (11.0.09) und älteren Versionen wird empfohlen, auf die Version 11.0.10 zu aktualisieren.
- Anwendern von Adobe Reader X (10.1.12) und älteren Versionen wird empfohlen, auf die Version 10.1.13 zu aktualisieren.
- Anwendern von Adobe Reader XI (11.0.09) und älteren Versionen wird empfohlen, auf die Version 11.0.10 zu aktualisieren.
- Anwendern von Adobe Acrobat X (10.1.12) und älteren Versionen wird empfohlen, auf die Version 10.1.13 zu aktualisieren.
- Adobe Reader XI (11.0.09) und frühere 11.x-Versionen
- Adobe Reader X (10.1.12) und frühere 10.x-Versionen
- Adobe Acrobat XI (11.0.09) und frühere 11.x-Versionen
- Adobe Acrobat X (10.1.12) und frühere 10.x-Versionen
Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Adobe Reader
In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.
Anwender von Adobe Reader für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Anwender von Adobe Reader für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.
Anwender von Acrobat Standard und Pro für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Anwender von Acrobat Pro für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe stuft die Priorität dieser Updates wie folgt ein; die Installation wird allen Anwendern empfohlen:
Diese Updates beheben kritische Sicherheitslücken in der Software.
Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
- Anwendern von Adobe Reader XI (11.0.09) und älteren Versionen wird empfohlen, auf die Version 11.0.10 zu aktualisieren.
- Anwendern von Adobe Reader X (10.1.12) und älteren Versionen wird empfohlen, auf die Version 10.1.13 zu aktualisieren.
- Anwendern von Adobe Reader XI (11.0.09) und älteren Versionen wird empfohlen, auf die Version 11.0.10 zu aktualisieren.
- Anwendern von Adobe Acrobat X (10.1.12) und älteren Versionen wird empfohlen, auf die Version 10.1.13 zu aktualisieren.
Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Code ermöglichen (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-basierten Pufferüberlaufs entstehen und die Ausführung von Code ermöglichen (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2014-8449).
Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Diese Updates schließen einen kritischen Time-of-Check-to-Time-of-Use-Wettlauf (TOCTOU), der ausgenutzt werden könnte, um willkürlichen Schreibzugriff auf das Dateisystem zuzulassen (CVE-2014-9150) .
Diese Updates schließen eine fehlerhafte Implementierung eines JavaScript-API, die zur Offenlegung von Informationen führen könnte (CVE-2014-8448, CVE-2014-8451).
Diese Updates schließen eine Sicherheitslücke bei der Verarbeitung externer XML-Entitäten, die zur Offenlegung von Informationen führen könnte (CVE-2014-8452).
Die Updates schließen Sicherheitslücken, die ausgenutzt werden können, um die Same-Origin-Policy zu umgehen (CVE-2014-8453).
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
- Alex Inführ von Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari von Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher und Dan Caselden von FireEye (CVE-2014-8454)
- Jack Tang von Trend Micro (CVE-2014-8447)
- James Forshaw vom Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk von Google Project Zero und Gynvael Coldwind vom Google-Sicherheitsteam (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro von Agile Information Security (CVE-2014-8449)
- Wei-Leu und Wu Hongjun von der Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)