Adobe 安全公告

发布日期：2015 年 14 月 7 日

漏洞标识符：APSB15-15

优先级：请参见下表

CVE 编号： CVE-2014-0566、CVE-2014-8450、CVE-2015-3095、CVE-2015-4435、CVE-2015-4438、CVE-2015-4441、CVE-2015-4443、CVE-2015-4444、CVE-2015-4445、CVE-2015-4446、CVE-2015-4447、CVE-2015-4448、CVE-2015-4449、CVE-2015-4450、CVE-2015-4451、CVE-2015-4452、CVE-2015-5085、CVE-2015-5086、CVE-2015-5087、CVE-2015-5088、CVE-2015-5089、CVE-2015-5090、CVE-2015-5091、CVE-2015-5092、CVE-2015-5093、CVE-2015-5094、CVE-2015-5095、CVE-2015-5096、CVE-2015-5097、CVE-2015-5098、CVE-2015-5099、CVE-2015-5100、CVE-2015-5101、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-5105、CVE-2015-5106、CVE-2015-5107、CVE-2015-5108、CVE-2015-5109、CVE-2015-5110、CVE-2015-5111、CVE-2015-5113、CVE-2015-5114、CVE-2015-5115

平台：Windows 和 Macintosh

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

有关 Acrobat DC 的疑问，请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问，请访问 Acrobat Reader DC 常见问题解答页面。

Adobe 建议用户通过以下方法之一，将他们的软件安装更新到最新版本：

• 用户可以通过选择“帮助”>“检查更新”，手动更新他们的产品安装。 
• 产品将在检测到更新时自动更新，而无须用户干预。 
• 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员（托管环境）：

• 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序，或参阅特定发行说明版本，以获取安装程序链接。
• 通过您的首选方法安装更新，例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows)，或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。 

• 这些更新解决了一个可能导致代码执行的缓冲区溢出漏洞 (CVE-2015-5093)。 
• 这些更新修复了可能导致代码执行的堆缓冲区溢出漏洞（CVE-2015-5096、CVE-2015-5098、CVE-2015-5105）。 
• 这些更新修复了可能导致代码执行的内存破坏漏洞（CVE-2015-5087、CVE-2015-5094、CVE-2015-5100、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-3095、CVE-2015-5115、CVE-2014-0566）。 
• 这些更新修复了信息泄露漏洞 (CVE-2015-5107)。 
• 这些更新修复了可能导致信息泄露的绕过安全漏洞（CVE-2015-4449、CVE-2015-4450、CVE-2015-5088、CVE-2015-5089、CVE-2015-5092、CVE-2014-8450）。 
• 这些更新修复了可能导致代码执行的堆溢出漏洞 (CVE-2015-5110)。 
• 这些更新修复了可能导致代码执行的释放后使用 (use-after-free) 漏洞（CVE-2015-4448、CVE-2015-5095、CVE-2015-5099、CVE-2015-5101、CVE-2015-5111、CVE-2015-5113、CVE-2015-5114）。 
• 这些更新修复了可被用来执行从低级到中级完整性级别权限提升的绕过验证问题（CVE-2015-4446、CVE-2015-5090、CVE-2015-5106）。 
• 这些更新修复了可被用来在受影响的系统中导致拒绝服务条件的绕过验证问题 (CVE-2015-5091)。 
• 这些更新修复了可能导致代码执行的整数溢出漏洞（CVE-2015-5097、CVE-2015-5108、CVE-2015-5109）。 
• 这些更新修复了可绕过 Javascript API 执行限制的多种方式（CVE-2015-4435、CVE-2015-4438、CVE-2015-4441、CVE-2015-4445、CVE-2015-4447、CVE-2015-4451、CVE-2015-4452、CVE-2015-5085、CVE-2015-5086）。 
• 这些更新修复了可能导致拒绝服务条件的空指针间接引用问题（CVE-2015-4443、CVE-2015-4444）。 

Adobe 衷心感谢以下个人和组织，感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户： 

• 来自 HP Zero Day Initiative 的 AbdulAziz Hariri 和 Jasiel Spelman（CVE-2015-5085、CVE-2015-5086、CVE-2015-5090、CVE-2015-5091）
• 来自 HP Zero Day Initiative 的 AbdulAziz Hariri（CVE-2015-4438、CVE-2015-4447、CVE-2015-4452、CVE-2015-5093、CVE-2015-5094、CVE-2015-5095、CVE-2015-5101、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-5113、CVE-2015-5114、CVE-2015-5115）。
• 来自 Cure53.de 的 Alex Inführ（CVE-2015-4449、CVE-2015-4450、CVE-2015-5088、CVE-2015-5089、CVE-2014-8450）
• 参与 VeriSign iDefense Labs 的 bilou（CVE-2015-4448、CVE-2015-5099）
• 来自 HP Zero Day Initiative 的 Brian Gorenc（CVE-2015-5100、CVE-2015-5111）
• MWR Labs (@mwrlabs) 的安全研究小组 (CVE-2015-4451)
• 来自 Google Project Zero 的 James Forshaw (CVE-2015-4446) 
• 来自 KeenTeam 的 Jihui Lu (CVE-2015-5087)
• 来自阿里巴巴安全研究小组的 JinCheng Liu（CVE-2015-5096、CVE-2015-5097、CVE-2015-5098、CVE-2015-5105）
• 参与 HP Zero Day Initiative 的 Keen Team (CVE-2015-5108)
• 参与 HP Zero Day Initiative 的 kernelsmith（CVE-2015-4435、CVE-2015-4441）
• 来自 Google 互联网安全项目团队“Project Zero”的 Mateusz Jurczyk (CVE-2015-3095) 
• 来自 HP Zero Day Initiative 的 Matt Molinyawe (CVE-2015-4445)
• 来自 Minded Security 的 Mauro Gentile (CVE-2015-5092)
• 参与 HP Zero Day Initiative 的 Nicolas Joly（CVE-2015-5106、CVE-2015-5107、CVE-2015-5109、CVE-2015-5110）
• 来自南洋理工大学的 Wei Lei 和 Wu Hongjun (CVE-2014-0566)
• 来自阿里巴巴安全研究小组的 Wu Ha（CVE-2015-4443、CVE-2015-4444）