Adobe 安全公告

Adobe Reader 和 Acrobat 的可用安全更新

发布日期:2014 年 9 月 16 日

漏洞标识符:APSB14-20

优先级:请参见下表

CVE 编号:CVE-2014-0560、CVE-2014-0561、CVE-2014-0562、CVE-2014-0563、CVE-2014-0565、CVE-2014-0566、CVE-2014-0567、CVE-2014-0568

平台:Windows 和 Macintosh

摘要

Adobe 已为 Windows 和 Macintosh 操作系统上的 Adobe Reader 和 Acrobat 发布了安全更新。这些更新修复了可能允许攻击者接管受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用 Adobe Reader XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
  • 对于使用 Adobe Reader X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
  • 使用 Adobe Acrobat XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
  • 对于使用 Adobe Acrobat X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。

受影响的软件版本

  • 适用于 Windows 的 Adobe Reader XI (11.0.08) 及更早的 11.x 版本
  • 适用于 Macintosh 的 Adobe Reader XI (11.0.07) 及更早的 11.x 版本
  • 适用于 Windows 的 Adobe Reader X (10.1.11) 及更早的 10.x 版本
  • Adobe Reader X (10.1.10) 及更早的 10.x 版本的 Macintosh 版
  • 适用于 Windows 的 Adobe Acrobat XI (11.0.08) 及更早的 11.x 版本
  • 适用于 Macintosh 的 Adobe Acrobat XI (11.0.07) 及更早的 11.x 版本
  • 适用于 Windows 的 Adobe Acrobat X (10.1.11) 及更早的 10.x 版本
  • 适用于 Macintosh 的 Adobe Acrobat X (10.1.10) 及更早的 10.x 版本

解决方案

Adobe 建议用户按照以下说明更新他们的软件安装:

Adobe Reader

产品的默认更新机制设置为定期运行自动更新检查。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。

Windows 版的 Adobe Reader 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Macintosh 版的 Adobe Reader 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

产品的默认更新机制设置为定期运行自动更新检查。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。

Windows 版的 Acrobat Standard 和 Pro 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Macintosh 版的 Acrobat Pro 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

优先级和严重等级

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级
Adobe Reader XI 11.0.09
Windows 和 Macintosh
1
Adobe Reader X 10.1.12
Windows 和 Macintosh 1
Adobe Acrobat XI 11.0.09
Windows 和 Macintosh
1
Adobe Acrobat X
10.1.12
Windows 和 Macintosh
1

这些更新解决了软件中严重等级为关键的漏洞。

详细信息

Adobe 已为 Windows 和 Macintosh 操作系统上的 Adobe Reader 和 Acrobat 发布了安全更新。这些更新修复了可能允许攻击者接管受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:

  • 使用 Adobe Reader XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
  • 对于使用 Adobe Reader X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
  • 使用 Adobe Acrobat XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
  • 对于使用 Adobe Acrobat X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。

这些更新修复了可导致代码执行的释放后使用漏洞 (CVE-2014-0560)。

这些更新修复了 Macintosh 平台上的 Reader 和 Acrobat 中普遍存在的跨站点脚本 (UXSS) 漏洞 (CVE-2014-0562)。

这些更新修复了与内存破坏有关的潜在拒绝服务 (DoS) 漏洞 (CVE-2014-0563)。

这些更新修复了可能导致代码执行的堆溢出漏洞(CVE-2014-0561、CVE-2014-0567)。

这些更新修复了若干可能导致代码执行的内存破坏漏洞(CVE-2014-0565、CVE-2014-0566)。

这些更新解决了一个沙箱绕过漏洞,攻击者可能会利用该漏洞以提升后的权限在 Windows 操作系统上运行本机代码的 (CVE-2014-0568)。

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自南洋理工大学且参与 Verisign iDefense Labs 的 Wei Lei 和 Wu Hongjun (CVE-2014-0560)
  • 参与 HP 的 Zero Day Initiative 的 Tom Ferris (CVE-2014-0561)
  • Detectify 的 Frans Rosen (CVE-2014-0562)
  • 来自南洋理工大学的 Wei Lei 和 Wu Hongjun(CVE-2014-0563、CVE-2014-0565、CVE-2014-0566)
  • 通过 HP 的 Zero Day Initiative 匿名报告 (CVE-2014-0567)
  • 来自 Google 项目 Zero 的 James Forshaw (CVE-2014-0568)