Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 14. července 2015

Identifikátor chyby zabezpečení: APSB15-15

Priorita: Viz tabulka níže

Čísla CVE:  CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Platformy: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 2015.007.20033
Windows a Macintosh
Acrobat Reader DC Průběžně 2015.007.20033
Windows a Macintosh
       
Acrobat DC Klasické 2015.006.30033
Windows a Macintosh
Acrobat Reader DC Klasické 2015.006.30033
Windows a Macintosh
       
Acrobat XI Není k dispozici 11.0.11 a starší verze Windows a Macintosh
Acrobat X Není k dispozici 10.1.14 a starší verze Windows a Macintosh
       
Reader XI Není k dispozici 11.0.11 a starší verze Windows a Macintosh
Reader X Není k dispozici 10.1.14 a starší verze Windows a Macintosh

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat jejich aktualizace softwaru na nejnovější verze jedním z následujících způsobů:  

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.  
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.  
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.  

Pro správce IT (spravovaná prostředí):  

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.  
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh). 
Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2015.008.20082
Windows a Macintosh 2

Systém Windows

Macintosh

Acrobat Reader DC Průběžně 2015.008.20082
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 2015.006.30060
Windows a Macintosh
2

Systém Windows

Macintosh

Acrobat Reader DC Klasické 2015.006.30060
Windows a Macintosh 2

Systém Windows

Macintosh

           
Acrobat XI Není k dispozici 11.0.12 Windows a Macintosh 2

Systém Windows

Macintosh

Acrobat X Není k dispozici 10.1.15 Windows a Macintosh 2

Systém Windows

Macintosh

           
Reader XI Není k dispozici 11.0.12 Windows a Macintosh 2

Systém Windows

Macintosh

Reader X Není k dispozici 10.1.15 Windows a Macintosh 2

Systém Windows

Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2015-5093).  
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, které mohou vést ke spuštění kódu (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které může vést ke spuštění kódu (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Tyto aktualizace opravují chybu zabezpečení umožňující únik informací (CVE-2015-5107).  
  • Tyto aktualizace řeší chyby spočívající v obejití zabezpečení, které může vést k úniku informací (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení zásobníku, která může vést ke spuštění kódu (CVE-2015-5110). 
  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Tyto aktualizace řeší problémy spočívající v obejití ověření, které mohou být zneužity k eskalaci oprávnění z nižší na střední úroveň integrity (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Tyto aktualizace řeší problém spočívající v obejití ověření, který může být zneužit k odmítnutí služeb v postiženém systému (CVE-2015-5091).  
  • Tyto aktualizace řeší chyby zabezpečení spočívající v překročení celočíselného limitu, které mohou vést ke spuštění kódu (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Tyto aktualizace brání různým metodám obejití omezení pro spuštění javascriptového rozhraní API (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Tyto aktualizace řeší problémy spočívající v odloženém vysílání nulového ukazatele, které mohou vést ke spuštění kódu (CVE-2015-4443, CVE-2015-4444). 

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím: 

  • AbdulAziz Hariri a Jasiel Spelman z iniciativy HP Zero Day Initiative (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri z iniciativy HP Zero Day Initiative (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ ze společnosti Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)
  • bilou spolupracující se společností VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Brian Gorenc z iniciativy HP Zero Day Initiative (CVE-2015-5100, CVE-2015-5111) 
  • Bezpečnostní výzkumný tým ve společnosti MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw z projektu Google Project Zero (CVE-2015-4446) 
  • Jihui Lu z týmu KeenTeam (CVE-2015-5087) 
  • JinCheng Liu z týmu Alibaba Security Research Team (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Keen Team spolupracující v rámci programu Zero Day Initiative společnosti HP (CVE-2015-5108) 
  • kernelsmith spolupracující s iniciativou HP Zero Day Initiative (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk, Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe z iniciativy HP Zero Day Initiative (CVE-2015-4445) 
  • Mauro Gentile ze společnosti Minded Security (CVE-2015-5092) 
  • Nicolas Joly spolupracující s iniciativou HP Zero Day Initiative (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (-0566-, CVE-2014) 
  • Wu Ha z týmu Alibaba Security Research Team (CVE-2015-4443, CVE-2015-4444)