Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Reader a Acrobat

Datum vydání: 13. května 2014

Identifikátor chyby zabezpečení: APSB14-15

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-0511, CVE-2014-0512, CVE-2014-0521, CVE-2014-0522, CVE-2014-0523, CVE-2014-0524, CVE-2014-0525, CVE-2014-0526, CVE-2014-0527, CVE-2014-0528, CVE-2014-0529

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro Adobe Reader a Acrobat XI (11.0.06) a starší verze pro systémy Windows a Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou způsobit havárii systému a které případně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.06) pro Windows a Macintosh by měli přejít na Adobe Reader XI (11.0.07).
  • Pro uživatele aplikace Adobe Reader X (10.1.9) a starších verzí pro Windows a Macintosh, kteří nemohou přejít na novější verzi Adobe Reader XI (11.0.07), společnost Adobe zpřístupnila aktualizaci Adobe Reader X (10.1.10).
  • Uživatelé aplikace Adobe Acrobat XI (11.0.06) pro Windows a Macintosh by měli přejít na Adobe Acrobat XI (11.0.07).
  • Pro uživatele aplikace Adobe Acrobat X (10.1.9) a starších verzí pro Windows a Macintosh, kteří nemohou přejít na novější verzi Adobe Acrobat XI (11.0.07), společnost Adobe zpřístupnila aktualizaci Adobe Acrobat X (10.1.10).

Dotčené verze softwaru

  • Adobe Reader XI (11.0.06) a starší verze 11.x pro Windows a Macintosh
  • Adobe Reader X (10.1.9) a starší verze 10.x pro Windows a Macintosh
  • Adobe Acrobat XI (11.0.06) a starší verze 11.x pro Windows a Macintosh
  • Adobe Acrobat X (10.1.9) a starší verze 10.x pro Windows a Macintosh

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

Adobe Reader

Uživatelé na systémech Windows a Macintosh mohou využít funkci pro aktualizaci produktu. Výchozí konfigurace je nastavena na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Adobe Reader se systémem Windows najdou vhodnou aktualizaci také zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Uživatelé aplikace Adobe Reader v systému Macintosh naleznou vhodnou aktualizaci také zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Uživatelé mohou využít funkci aktualizace produktu. Výchozí konfigurace je nastavena na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro Extended v systému Windows naleznou vhodnou aktualizaci také zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro se systémem Macintosh najdou vhodnou aktualizaci také zde: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Priorita a závažnost

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Produkt Aktualizovaná verze Platforma Hodnocení priority
Adobe Reader XI (11.0.07)
Windows a Macintosh
1
Adobe Reader X (10.1.10)
Windows a Macintosh 1
Adobe Acrobat XI (11.0.07)
Windows a Macintosh
1
Adobe Acrobat
X (10.1.10)
Windows a Macintosh
1

Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.

Podrobnosti

Společnost Adobe vydala aktualizace zabezpečení pro Adobe Reader a Acrobat XI (11.0.06) a starší verze pro systémy Windows a Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou způsobit havárii systému a které případně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.06) pro Windows a Macintosh by měli přejít na Adobe Reader XI (11.0.07).
  • Pro uživatele aplikace Adobe Reader X (10.1.9) a starších verzí pro Windows a Macintosh, kteří nemohou přejít na novější verzi Adobe Reader XI (11.0.07), společnost Adobe zpřístupnila aktualizaci Adobe Reader X (10.1.10).
  • Uživatelé aplikace Adobe Acrobat XI (11.0.06) pro Windows a Macintosh by měli přejít na Adobe Acrobat XI (11.0.07).
  • Pro uživatele aplikace Adobe Acrobat X (10.1.9) a starších verzí pro Windows a Macintosh, kteří nemohou přejít na novější verzi Adobe Acrobat XI (11.0.07), společnost Adobe zpřístupnila aktualizaci Adobe Acrobat X (10.1.10).

Tyto aktualizace řeší chybu zabezpečení týkající se přetečení haldy, která může vést ke spuštění kódu (CVE-2014-0511).

Tyto aktualizace řeší chybu ověřování vstupu, se kterou bylo možné obejít zabezpečení (CVE-2014-0512).

Tyto aktualizace řeší chybu zabezpečení při implementaci rozhraní API skriptu Javascript, která mohla vést k prozrazení informací (CVE-2014-0521).

Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2014-0522, CVE-2014-0523, CVE-2014-0524, CVE-2014-0526).

Tyto aktualizace řeší chybu zabezpečení při zpracování určitých volání API aplikací Reader, která byla směrovaná na nenamapovanou paměť, což umožňovalo spuštění kódu (CVE-2014-0525).

Tyto aktualizace řeší chybu zabezpečení spočívající možnosti v použití uvolněné paměti, která může vést ke spuštění kódu (CVE-2014-0527).

Tyto aktualizace řeší chybu zabezpečení „double-free“, která umožňovala spuštění kódu (CVE-2014-0528).

Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2014-0529).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Společnost VUPEN spolupracující se společností HP v rámci programu Zero Day Initiative (CVE-2014-0511, CVE-2014-0512)
  • Gábor Molnár ze společnosti Ukatemi (CVE-2014-0521)
  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (CVE-2014-0522, CVE-2014-0524)
  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University spolupracující se společností Verisign iDefense Labs (CVE-2014-0523)
  • Yuki Chen ze společnosti Trend Micro (CVE-2014-0525)
  • Pedro Ribeiro, Agile Information Security a Honglin Long (CVE-2014-0526)
  • chkr_d591 spolupracující se společností HP v rámci programu Zero Day Initiative (CVE-2014-0527)
  • Sune Vuorela ze společnosti Ange Optimization (CVE-2014-0528)
  • Venustech Active-Defense Lab (CVE-2014-0529)