Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Digital Editions | APSB17-27
ID bulletinu Datum zveřejnění Priorita
APSB17-27 8. srpna 2017 2

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Digital Editions pro systémy Windows, Macintosh, iOS a Android. Tato aktualizace řeší kritickou chybu zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což by mohlo vést ke spuštění kódu, sedm důležitých chyb zabezpečení spočívajících v poškození paměti, které by mohly vést k poskytnutí paměťových adres, a kritickou chybu zabezpečení spočívající ve zpracování externích entit XML, která by mohla vést k poskytnutí informací.

Dotčené verze produktu

Produkt Verze Platforma
Adobe Digital Editions 4.5.5 a starší verze Windows, Macintosh, iOS a Android

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Adobe Digital Editions 4.5.6 Systém Windows 2 Ke stažení
Macintosh 2 Ke stažení
Systém iOS 2 iTunes
Android 2 Playstore

Poznámka:

  • Zákazníci využívající aplikaci Adobe Digital Editions 4.5.5 si mohou stáhnout aktualizaci ze stránky ke stažení dat pro aplikaci Adobe Digital Editions, nebo mohou po výzvě použít aktualizační mechanismus produktu.
  • Bližší informace najdete v poznámkách k verzi.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Přetečení vyrovnávací paměti Vzdálené spuštění kódu Kritická CVE-2017-11274
Poškození paměti Odhalení adresy v paměti Důležitá CVE-2017-3091, CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280
Zpracování externích entit XML Neoprávněné zveřejnění informací Kritická CVE-2017-11272

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Steven Seeley ze společnosti Source Incite (CVE-2017-11272)
  • Steven Seeley ze společnosti Source Incite spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-3091, CVE-2017-11274)
  • Jaanus Kääp, Clarified Security (CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279)
  • Riusksk z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-11280)