发布日期:2014 年 9 月 16 日
漏洞标识符:APSB14-20
优先级:请参见下表
CVE 编号:CVE-2014-0560、CVE-2014-0561、CVE-2014-0562、CVE-2014-0563、CVE-2014-0565、CVE-2014-0566、CVE-2014-0567、CVE-2014-0568
平台:Windows 和 Macintosh
Adobe 已为 Windows 和 Macintosh 操作系统上的 Adobe Reader 和 Acrobat 发布了安全更新。这些更新修复了可能允许攻击者接管受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:
- 使用 Adobe Reader XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
- 对于使用 Adobe Reader X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
- 使用 Adobe Acrobat XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
- 对于使用 Adobe Acrobat X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
- 适用于 Windows 的 Adobe Reader XI (11.0.08) 及更早的 11.x 版本
- 适用于 Macintosh 的 Adobe Reader XI (11.0.07) 及更早的 11.x 版本
- 适用于 Windows 的 Adobe Reader X (10.1.11) 及更早的 10.x 版本
- Adobe Reader X (10.1.10) 及更早的 10.x 版本的 Macintosh 版
- 适用于 Windows 的 Adobe Acrobat XI (11.0.08) 及更早的 11.x 版本
- 适用于 Macintosh 的 Adobe Acrobat XI (11.0.07) 及更早的 11.x 版本
- 适用于 Windows 的 Adobe Acrobat X (10.1.11) 及更早的 10.x 版本
- 适用于 Macintosh 的 Adobe Acrobat X (10.1.10) 及更早的 10.x 版本
Adobe 建议用户按照以下说明更新他们的软件安装:
Adobe Reader
产品的默认更新机制设置为定期运行自动更新检查。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。
Windows 版的 Adobe Reader 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Macintosh 版的 Adobe Reader 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
产品的默认更新机制设置为定期运行自动更新检查。可通过选择“帮助”>“检查更新”,手动激活“更新检查”。
Windows 版的 Acrobat Standard 和 Pro 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Macintosh 版的 Acrobat Pro 用户可以在以下网址找到相应的更新:http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
产品 | 更新后的版本 | 平台 | 优先级 |
---|---|---|---|
Adobe Reader XI | 11.0.09 |
Windows 和 Macintosh |
1 |
Adobe Reader X | 10.1.12 |
Windows 和 Macintosh | 1 |
Adobe Acrobat XI | 11.0.09 |
Windows 和 Macintosh |
1 |
Adobe Acrobat X |
10.1.12 |
Windows 和 Macintosh |
1 |
这些更新解决了软件中严重等级为关键的漏洞。
Adobe 已为 Windows 和 Macintosh 操作系统上的 Adobe Reader 和 Acrobat 发布了安全更新。这些更新修复了可能允许攻击者接管受影响系统的漏洞。Adobe 建议用户将其安装的产品更新至最新版本:
- 使用 Adobe Reader XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
- 对于使用 Adobe Reader X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
- 使用 Adobe Acrobat XI (11.0.08) 及更早版本的用户应将软件更新至版本 11.0.09。
- 对于使用 Adobe Acrobat X (10.1.11) 及更早版本的用户而言,由于用户无法将该软件更新至版本 11.0.09,Adobe 为这些用户提供了版本 10.1.12。
这些更新修复了可导致代码执行的释放后使用漏洞 (CVE-2014-0560)。
这些更新修复了 Macintosh 平台上的 Reader 和 Acrobat 中普遍存在的跨站点脚本 (UXSS) 漏洞 (CVE-2014-0562)。
这些更新修复了与内存破坏有关的潜在拒绝服务 (DoS) 漏洞 (CVE-2014-0563)。
这些更新修复了可能导致代码执行的堆溢出漏洞(CVE-2014-0561、CVE-2014-0567)。
这些更新修复了若干可能导致代码执行的内存破坏漏洞(CVE-2014-0565、CVE-2014-0566)。
这些更新解决了一个沙箱绕过漏洞,攻击者可能会利用该漏洞以提升后的权限在 Windows 操作系统上运行本机代码的 (CVE-2014-0568)。
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- 来自南洋理工大学且参与 Verisign iDefense Labs 的 Wei Lei 和 Wu Hongjun (CVE-2014-0560)
- 参与 HP 的 Zero Day Initiative 的 Tom Ferris (CVE-2014-0561)
- Detectify 的 Frans Rosen (CVE-2014-0562)
- 来自南洋理工大学的 Wei Lei 和 Wu Hongjun(CVE-2014-0563、CVE-2014-0565、CVE-2014-0566)
- 通过 HP 的 Zero Day Initiative 匿名报告 (CVE-2014-0567)
- 来自 Google 项目 Zero 的 James Forshaw (CVE-2014-0568)