Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Digital Editions | APSB17-39
ID bulletinu Datum zveřejnění Priorita
APSB17-39 14. listopadu 2017 3

Shrnutí

Společnost Adobe vydala aktualizaci zabezpečení pro aplikaci Adobe Digital Editions pro systémy Windows, Macintosh, iOS a Android. Tato aktualizace řeší chybu zabezpečení související se zpracováním externí entity XML hodnocenou jako kritickou, která by mohla způsobit vydání informací, chybu zabezpečení spojenou se čtením mimo hranice, která by mohla způsobit vydání adres v paměti, a chybu zabezpečení spojenou s poškozením paměti, která by mohla vést k vydání adres v paměti.

Dotčené verze produktu

Produkt Verze Platforma
Adobe Digital Editions 4.5.6 a starší verze Windows, Macintosh, iOS a Android

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Adobe Digital Editions 4.5.7 Systém Windows 3 Ke stažení
Macintosh 3 Ke stažení
Systém iOS 3 iTunes
Android 3 Playstore

Poznámka:

  • Zákazníci využívající aplikaci Adobe Digital Editions 4.5.6 si mohou stáhnout aktualizaci ze stránky ke stažení dat pro aplikaci Adobe Digital Editions, nebo mohou po výzvě použít aktualizační mechanismus produktu.
  • Bližší informace najdete v poznámkách k verzi.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Nezabezpečená analýza externích entit XML Neoprávněné zveřejnění informací Kritická CVE-2017-11273
Čtení mimo hranice Odhalení adresy v paměti Důležitá CVE-2017-11297
Čtení mimo hranice Odhalení adresy v paměti Důležitá CVE-2017-11298
Čtení mimo hranice Odhalení adresy v paměti Důležitá CVE-2017-11299
Čtení mimo hranice Odhalení adresy v paměti Důležitá CVE-2017-11300
Poškození paměti Odhalení adresy v paměti Důležitá CVE-2017-11301

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Steven Seeley ze společnosti Source Incite (CVE-2017-11273)
  • Jaanus Kääp, společnost Clarified Security (CVE-2017-11297, CVE-2017-11298, CVE-2017-11299, CVE-2017-11300)
  • Riusksk z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-11301)