Bezpečnostní bulletin společnosti Adobe

Datum vydání: 9. prosince 2014

Identifikátor chyby zabezpečení: APSB14-28

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platforma: Windows a Macintosh

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

• Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
• Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
• Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
• Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.

• Adobe Reader XI (11.0.09) a starší verze 11.x
• Adobe Reader X (10.1.12) a starší verze 10.x
• Adobe Acrobat XI (11.0.09) a starší verze 11.x
• Adobe Acrobat X (10.1.12) a starší verze 10.x

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

Adobe Reader

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Adobe Reader v systému Windows naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Uživatelé aplikace Adobe Reader v systému Macintosh naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

• Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
• Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
• Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
• Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.

Tyto aktualizace řeší chyby zabezpečení typu „use-after-free“, které mohou vést ke spuštění kódu (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Tyto aktualizace opravují chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což může vést ke spuštění kódu (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2014-8449).

Tyto aktualizace opravují chyby zabezpečení spočívající v poškození paměti, což může vést ke spuštění kódu (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Tyto aktualizace opravují chybu zabezpečení TOCTOU (time-of-check time-of-use), kterou lze zneužít k umožnění libovolného zápisu do souborového systému (CVE-2014-9150).

Tyto aktualizace opravují nesprávnou implementaci rozhraní API jazyka JavaScript, což by mohlo vést k prozrazení informací (CVE-2014-8448, CVE-2014-8451).

Tyto aktualizace opravují chybu zabezpečení při zpracování externích entit XML, což by mohlo vést k prozrazení informací (CVE-2014-8452).

Tyto aktualizace opravují chyby zabezpečení, které umožňovaly obcházet zásadu stejného původu (CVE-2014-8453).  

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

• Alex Inführ ze služby Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
• Ashfaq Ansari ze společnosti Payatu Technologies (CVE-2014-8446)
• Corbin Souffrant, Armin Buescher a Dan Caselden ze společnosti FireEye (CVE-2014-8454)
• Jack Tang ze společnosti Trend Micro (CVE-2014-8447)
• James Forshaw z projektu Google Project Zero (CVE-2014-9150)
• lokihardt@asrt (CVE-2014-8448)
• Mateusz Jurczyk z projektu Google Project Zero a Gynvael Coldwind z týmu Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
• Pedro Ribeiro ze společnosti Agile Information Security (CVE-2014-8449)
• Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)