Adobe Reader 和 Acrobat 的可用安全更新

发布日期:2014 年 8 月 12 日

漏洞标识符:APSB14-19

优先级:请参见下表

CVE 编号:CVE-2014-0546

平台:Windows

摘要

Adobe 发布了适用于 Windows 的 Adobe Reader 和 Acrobat XI (11.0.07) 及更早版本的安全更新。这些更新解决了一个漏洞,该漏洞可能会允许攻击者避开 Windows 平台上的沙盒保护。适用于 Apple OS X 的 Adobe Reader 和 Acrobat 则不受影响。

根据 Adobe 掌握的证据,有攻击者正利用存在的安全漏洞,专门针对 Windows 上的 Adobe Reader 用户进行有限的独立攻击。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用适用于 Windows 的 Adobe Reader XI (11.0.07) 及更早版本的用户应将软件更新至版本 11.0.08。
  • 对于使用适用于 Windows 的 Adobe Reader X (10.1.10) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.08,Adobe 为这些用户提供了版本 10.1.11。
  • 使用适用于 Windows 的 Adobe Acrobat XI (11.0.07) 及更早版本的用户应将软件更新至版本 11.0.08。
  • 对于使用适用于 Windows 的 Adobe Acrobat X (10.1.10) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.08,Adobe 为这些用户提供了版本 10.1.11。

受影响的软件版本

  • 适用于 Windows 的 Adobe Reader XI (11.0.07) 及更早的 11.x 版本
  • 适用于 Windows 的 Adobe Reader X (10.1.10) 及更早的 10.x 版本
  • 适用于 Windows 的 Adobe Acrobat XI (11.0.07) 及更早的 11.x 版本
  • 适用于 Windows 的 Adobe Acrobat X (10.1.10) 及更早的 10.x 版本

解决方案

Adobe 建议用户按照以下说明更新他们的软件安装:

Adobe Reader

Windows 上的用户可利用产品的更新机制。默认配置设置为定期自动运行“更新检查”。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。

Windows 平台上的 Adobe Reader 用户还可以在以下网址找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Acrobat

用户可利用产品的更新机制。默认配置设置为定期自动运行“更新检查”。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。

Windows 平台上的 Acrobat Standard 和 Pro 用户还可以在以下网址找到相应更新:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Windows 平台上的 Adobe Pro Extended 用户还可以在以下网址找到相应更新:http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

优先级和严重等级

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级
Adobe Reader XI (11.0.08)
Windows
1
Adobe Reader X (10.1.11)
Windows 1
Adobe Acrobat XI (11.0.08)
Windows
1
Adobe Acrobat
X (10.1.11)
Windows
1

这些更新解决了软件中严重等级为关键的漏洞。

详细信息

Adobe 发布了适用于 Windows 的 Adobe Reader 和 Acrobat XI (11.0.07) 及更早版本的安全更新。这些更新解决了一个漏洞,该漏洞可能会允许攻击者避开 Windows 平台上的沙盒保护。适用于 Apple OS X 的 Adobe Reader 和 Acrobat 则不受影响。

根据 Adobe 掌握的证据,一项来自外界的可攻击漏洞正在有限的范围内被攻击者加以利用,因此而形成的各种各样的攻击主要针对的是 Windows 操作系统上的 Adobe Reader 用户。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用适用于 Windows 的 Adobe Reader XI (11.0.07) 及更早版本的用户应将软件更新至版本 11.0.08。
  • 对于使用适用于 Windows 的 Adobe Reader X (10.1.10) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.08,Adobe 为这些用户提供了版本 10.1.11。
  • 使用适用于 Windows 的 Adobe Acrobat XI (11.0.07) 及更早版本的用户应将软件更新至版本 11.0.08。
  • 对于使用适用于 Windows 的 Adobe Acrobat X (10.1.10) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.08,Adobe 为这些用户提供了版本 10.1.11。

这些更新解决了一个沙箱绕过漏洞,攻击者可能会利用该漏洞以提升后的权限在 Windows 操作系统上运行本机代码的 (CVE-2014-0546)。

鸣谢

Adobe 衷心感谢卡巴斯基实验室 (Kaspersky Labs) 的 Costin Raiu 和 Vitaly Kamluk (CVE-2014-0546),感谢他们与 Adobe 一起帮助保护我们的客户。