Datum vydání: 9. prosince 2014
Identifikátor chyby zabezpečení: APSB14-28
Priorita: Viz tabulka níže
Čísla CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Platforma: Windows a Macintosh
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:
- Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
- Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
- Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
- Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
- Adobe Reader XI (11.0.09) a starší verze 11.x
- Adobe Reader X (10.1.12) a starší verze 10.x
- Adobe Acrobat XI (11.0.09) a starší verze 11.x
- Adobe Acrobat X (10.1.12) a starší verze 10.x
Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:
Adobe Reader
Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.
Uživatelé aplikace Adobe Reader v systému Windows naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Uživatelé aplikace Adobe Reader v systému Macintosh naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.
Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:
- Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
- Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
- Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
- Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
Tyto aktualizace řeší chyby zabezpečení typu „use-after-free“, které mohou vést ke spuštění kódu (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Tyto aktualizace opravují chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což může vést ke spuštění kódu (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2014-8449).
Tyto aktualizace opravují chyby zabezpečení spočívající v poškození paměti, což může vést ke spuštění kódu (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Tyto aktualizace opravují chybu zabezpečení TOCTOU (time-of-check time-of-use), kterou lze zneužít k umožnění libovolného zápisu do souborového systému (CVE-2014-9150).
Tyto aktualizace opravují nesprávnou implementaci rozhraní API jazyka JavaScript, což by mohlo vést k prozrazení informací (CVE-2014-8448, CVE-2014-8451).
Tyto aktualizace opravují chybu zabezpečení při zpracování externích entit XML, což by mohlo vést k prozrazení informací (CVE-2014-8452).
Tyto aktualizace opravují chyby zabezpečení, které umožňovaly obcházet zásadu stejného původu (CVE-2014-8453).
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
- Alex Inführ ze služby Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari ze společnosti Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher a Dan Caselden ze společnosti FireEye (CVE-2014-8454)
- Jack Tang ze společnosti Trend Micro (CVE-2014-8447)
- James Forshaw z projektu Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk z projektu Google Project Zero a Gynvael Coldwind z týmu Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro ze společnosti Agile Information Security (CVE-2014-8449)
- Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)