Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikace Adobe Reader a Acrobat

Datum vydání: 9. prosince 2014

Identifikátor chyby zabezpečení: APSB14-28

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
  • Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
  • Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
  • Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.

Dotčené verze softwaru

  • Adobe Reader XI (11.0.09) a starší verze 11.x
  • Adobe Reader X (10.1.12) a starší verze 10.x
  • Adobe Acrobat XI (11.0.09) a starší verze 11.x
  • Adobe Acrobat X (10.1.12) a starší verze 10.x

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

Adobe Reader

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Adobe Reader v systému Windows naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Uživatelé aplikace Adobe Reader v systému Macintosh naleznou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Priorita a závažnost

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Produkt Aktualizovaná verze Platforma Hodnocení priority
Adobe Reader 11.0.10
Windows a Macintosh
1
  10.1.13
Windows a Macintosh 1
       
Adobe Acrobat 11.0.10
Windows a Macintosh
1
  10.1.13
Windows a Macintosh
1

Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.

Podrobnosti

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
  • Uživatelé aplikace Adobe Reader X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.
  • Uživatelé aplikace Adobe Acrobat XI (11.0.09) a starších verzí by měli provést aktualizaci na verzi 11.0.10.
  • Uživatelé aplikace Adobe Acrobat X (10.1.12) a starších verzí by měli provést aktualizaci na verzi 10.1.13.

Tyto aktualizace řeší chyby zabezpečení typu „use-after-free“, které mohou vést ke spuštění kódu (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Tyto aktualizace opravují chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což může vést ke spuštění kódu (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2014-8449).

Tyto aktualizace opravují chyby zabezpečení spočívající v poškození paměti, což může vést ke spuštění kódu (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Tyto aktualizace opravují chybu zabezpečení TOCTOU (time-of-check time-of-use), kterou lze zneužít k umožnění libovolného zápisu do souborového systému (CVE-2014-9150).

Tyto aktualizace opravují nesprávnou implementaci rozhraní API jazyka JavaScript, což by mohlo vést k prozrazení informací (CVE-2014-8448, CVE-2014-8451).

Tyto aktualizace opravují chybu zabezpečení při zpracování externích entit XML, což by mohlo vést k prozrazení informací (CVE-2014-8452).

Tyto aktualizace opravují chyby zabezpečení, které umožňovaly obcházet zásadu stejného původu (CVE-2014-8453).  

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Alex Inführ ze služby Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari ze společnosti Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher a Dan Caselden ze společnosti FireEye (CVE-2014-8454)
  • Jack Tang ze společnosti Trend Micro (CVE-2014-8447)
  • James Forshaw z projektu Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk z projektu Google Project Zero a Gynvael Coldwind z týmu Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro ze společnosti Agile Information Security (CVE-2014-8449)
  • Wei Lei a Wu Hongjun z univerzity Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)