Zveřejnění aktualizací zabezpečení pro aplikace Adobe Reader a Acrobat

Datum vydání: 16. září 2014

Identifikátor chyby zabezpečení: APSB14-20

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.08) a starších verzí by měli provést aktualizaci na verzi 11.0.09.
  • Pro uživatele aplikace Adobe Reader X (10.1.11) a starších verzí, kteří nemohou provést aktualizaci na verzi 11.0.09, vydala společnost Adobe verzi 10.1.12.
  • Uživatelé aplikace Adobe Acrobat XI (11.0.08) a starších verzí by měli provést aktualizaci na verzi 11.0.09.
  • Pro uživatele aplikace Adobe Acrobat X (10.1.11) a starších verzí, kteří nemohou provést aktualizaci na verzi 11.0.09, vydala společnost Adobe verzi 10.1.12.

Dotčené verze softwaru

  • Adobe Reader XI (11.0.08) a starší verze 11.x pro systém Windows
  • Adobe Reader XI (11.0.07) a starší verze 11.x pro počítače Macintosh
  • Adobe Reader X (10.1.11) a starší verze 10.x pro systém Windows
  • Adobe Reader X (10.1.10) a starší verze 10.x pro systém Macintosh
  • Adobe Acrobat XI (11.0.08) a starší verze 11.x pro systém Windows
  • Adobe Acrobat XI (11.0.07) a starší verze 11.x pro počítače Macintosh
  • Adobe Acrobat X (10.1.11) a starší verze 10.x pro systém Windows
  • Adobe Acrobat X (10.1.10) a starší verze 10.x pro počítače Macintosh

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

Adobe Reader

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Adobe Reader v systému Windows naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Uživatelé aplikace Adobe Reader v systému Macintosh naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Priorita a závažnost

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat své instalace na nejnovější verze:

Produkt Aktualizovaná verze Platforma Hodnocení priority
Adobe Reader XI 11.0.09
Windows a Macintosh
1
Adobe Reader X 10.1.12
Windows a Macintosh 1
Adobe Acrobat XI 11.0.09
Windows a Macintosh
1
Adobe Acrobat X
10.1.12
Windows a Macintosh
1

Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.

Podrobnosti

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.08) a starších verzí by měli provést aktualizaci na verzi 11.0.09.
  • Pro uživatele aplikace Adobe Reader X (10.1.11) a starších verzí, kteří nemohou provést aktualizaci na verzi 11.0.09, vydala společnost Adobe verzi 10.1.12.
  • Uživatelé aplikace Adobe Acrobat XI (11.0.08) a starších verzí by měli provést aktualizaci na verzi 11.0.09.
  • Pro uživatele aplikace Adobe Acrobat X (10.1.11) a starších verzí, kteří nemohou provést aktualizaci na verzi 11.0.09, vydala společnost Adobe verzi 10.1.12.

Tyto aktualizace řeší chybu zabezpečení spočívající možnosti v použití uvolněné paměti, která může vést ke spuštění kódu (CVE-2014-0560).

Tyto aktualizace odstraňují chybu zabezpečení umožňující útok UXSS (universal cross-site scripting) v aplikacích Reader a Acrobat na platformě Macintosh (CVE-2014-0562).

Tyto aktualizace odstraňují potenciální chybu zabezpečení související s poškozením paměti, která umožňuje útok DoS (denial-of-service) (CVE-2014-0563).

Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení haldy, která může vést ke spuštění kódu (CVE-2014-0561, CVE-2014-0567).

Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2014-0565, CVE-2014-0566).

Tyto aktualizace odstraňují chybu zabezpečení umožňující obejít funkci Sandbox a spustit vlastní kód se zvýšenými oprávněními v systému Windows (CVE-2014-0568).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University spolupracující se společností Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris spolupracující s iniciativou Zero Day Initiative společnosti HP (CVE-2014-0561)
  • Frans Rosen ze společnosti Detectify (CVE-2014-0562)
  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Anonymní hlášení prostřednictvím iniciativy Zero Day Initiative společnosti HP (CVE-2014-0567)
  • James Forshaw z projektu Google Project Zero (CVE-2014-0568)