Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Reader e Acrobat

Data di pubblicazione: 9 dicembre 2014

Identificatore di vulnerabilità: APSB14-28

Priorità: consultare la tabella riportata di seguito

Codici CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Piattaforme: Windows e Macintosh

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Reader e Acrobat per Windows e Macintosh. Questi aggiornamenti risolvono vulnerabilità che possono consentire a eventuali aggressori di assumere il controllo del sistema interessato.  Adobe consiglia agli utenti interessati di aggiornare le installazioni dei prodotti in uso alle versioni più recenti:

  • Gli utenti di Adobe Reader XI (11.0.09) e versioni precedenti devono eseguire l'aggiornamento alla versione 11.0.10.
  • Gli utenti di Adobe Reader X (10.1.12) e versioni precedenti devono eseguire l'aggiornamento alla versione 10.1.13.
  • Gli utenti di Adobe Acrobat XI (11.0.09) e versioni precedenti devono eseguire l'aggiornamento alla versione 11.0.10.
  • Gli utenti di Adobe Acrobat X (10.1.12) e versioni precedenti devono eseguire l'aggiornamento alla versione 10.1.13.

Versioni del software interessate

  • Adobe Reader XI (11.0.09) e versioni 11.x precedenti
  • Adobe Reader X (10.1.12) e versioni 10.x precedenti
  • Adobe Acrobat XI (11.0.09) e versioni 11.x precedenti
  • Adobe Acrobat X (10.1.12) e versioni 10.x precedenti 

Soluzione

Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti in uso attenendosi alle istruzioni fornite di seguito.

Adobe Reader

Il meccanismo di aggiornamento integrato nel prodotto prevede il controllo periodico e automatico degli aggiornamenti disponibili. È possibile attivare manualmente il controllo degli aggiornamenti selezionando ? > Controlla aggiornamenti.

Gli utenti di Adobe Reader per Windows possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Gli utenti di Adobe Reader per Macintosh possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Il meccanismo di aggiornamento integrato nel prodotto prevede il controllo periodico e automatico degli aggiornamenti disponibili. È possibile attivare manualmente il controllo degli aggiornamenti selezionando ? > Controlla aggiornamenti.

Gli utenti di Acrobat Standard e Pro per Windows possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Gli utenti di Acrobat Pro per Macintosh possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Classificazione dei livelli di priorità e gravità

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto Versione aggiornata Piattaforma Livello di priorità
Adobe Reader 11.0.10
Windows e Macintosh
1
  10.1.13
Windows e Macintosh 1
       
Adobe Acrobat 11.0.10
Windows e Macintosh
1
  10.1.13
Windows e Macintosh
1

Questi aggiornamenti risolvono vulnerabilità critiche all'interno del software.

Dettagli

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Reader e Acrobat per Windows e Macintosh. Questi aggiornamenti risolvono vulnerabilità che possono consentire a eventuali aggressori di assumere il controllo del sistema interessato.  Adobe consiglia agli utenti interessati di aggiornare le installazioni dei prodotti in uso alle versioni più recenti:

  • Gli utenti di Adobe Reader XI (11.0.09) e versioni precedenti devono eseguire l'aggiornamento alla versione 11.0.10.
  • Gli utenti di Adobe Reader X (10.1.12) e versioni precedenti devono eseguire l'aggiornamento alla versione 10.1.13.
  • Gli utenti di Adobe Acrobat XI (11.0.09) e versioni precedenti devono eseguire l'aggiornamento alla versione 11.0.10.
  • Gli utenti di Adobe Acrobat X (10.1.12) e versioni precedenti devono eseguire l'aggiornamento alla versione 10.1.13.

Questi aggiornamenti risolvono vulnerabilità di tipo use-after-free che potrebbero provocare l'esecuzione di codice (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Questi aggiornamenti risolvono vulnerabilità di sovraccarico del buffer basato su heap che potrebbero provocare l'esecuzione di codice (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Questi aggiornamenti risolvono una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2014-8449).

Questi aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Questi aggiornamenti risolvono una condizione race di tipo time of check to time of use (TOCTOU) che potrebbe essere sfruttata per ottenere privilegi di accesso in scrittura al file system (CVE-2014-9150).

Questi aggiornamenti risolvono un'implementazione errata di un API JavaScript che potrebbe provocare la diffusione di informazioni (CVE-2014-8448, CVE-2014-8451).

Questi aggiornamenti risolvono una vulnerabilità nella gestione di entità XML esterne che potrebbe provocare la divulgazione di informazioni (CVE-2014-8452).

Questi aggiornamenti risolvono vulnerabilità che potrebbero essere sfruttate per aggirare i criteri di corrispondenza dell'origine (CVE-2014-8453).  

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Alex Inführ di Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari di Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher e Dan Caselden di FireEye (CVE-2014-8454)
  • Jack Tang di Trend Micro (CVE-2014-8447)
  • James Forshaw di Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk di Google Project Zero e Gynvael Coldwind del Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro di Agile Information Security (CVE-2014-8449)
  • Wei Lei e Wu Hongjun della Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)