Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Digital Editions | APSB17-20
ID bulletinu Datum zveřejnění Priorita
APSB17-20 13. června 2017 3

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Digital Editions pro systémy Windows, Macintosh, iOS a Android. Tato aktualizace řeší kritický problém poškození paměti, který může vést ke spuštění kódu, tři chyby zabezpečení klasifikované jako závažné, které by mohly vést k udělení oprávnění neoprávněné osobě, a dvě poškození paměti klasifikované jako závažné, které by mohly vést k odhalení adresy v paměti.

Dotčené verze produktu

Produkt Verze Platforma
Adobe Digital Editions 4.5.4 a starší verze Windows, Macintosh, iOS a Android

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Adobe Digital Editions 4.5.5 Systém Windows 3 Ke stažení
Macintosh 3 Ke stažení
Systém iOS 3 iTunes
Android 3 Playstore

Poznámka:

  • Zákazníci využívající aplikaci Adobe Digital Editions 4.5.4 si mohou stáhnout aktualizaci ze stránky ke stažení dat pro aplikaci Adobe Digital Editions, nebo mohou po výzvě použít aktualizační mechanismus produktu.
  • Bližší informace najdete v poznámkách k verzi.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3088, CVE-2017-3089, CVE-2017-3093, CVE-2017-3096
Nezabezpečené načtení knihovny Udělení oprávnění neoprávněné osobě Důležitá CVE-2017-3090, CVE-2017-3092, CVE-2017-3097
Přetečení zásobníku Odhalení adresy v paměti Důležitá CVE-2017-3094, CVE-2017-3095

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Ke Liu z centra Xuanwu LAB společnosti Tencent (CVE-2017-3088)
  • Fortinet's FortiGuard Labs (CVE-2017-3089)
  • Anonym (CVE-2017-3090)
  • John Carroll z webu https://ctus.io (CVE-2017-3092)
  • riusksk (泉哥) z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-3093, CVE-2017-3094, CVE-2017-3095, CVE-2017-3096)
  • Yuji Tounai (@yousukezan) pracující ve společnosti NTT Communications Corporation (CVE-2017-3090, CVE-2017-3097)