Zveřejnění aktualizací zabezpečení pro aplikace Adobe Reader a Acrobat

Datum vydání: 12. května 2015

Identifikátor chyby zabezpečení: APSB15-10

Priorita: Viz tabulka níže

Čísla CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze: 

  • Uživatelé aplikace Adobe Reader XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11. 

  • Uživatelé aplikace Adobe Reader X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14. 

  • Uživatelé aplikace Adobe Acrobat XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11. 

  • Uživatelé aplikace Adobe Acrobat X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.

Dotčené verze softwaru

  • Adobe Reader XI (11.0.10) a starší verze 11.x 

  • Adobe Reader X (10.1.13) a starší verze 10.x  

  • Adobe Acrobat XI (11.0.10) a starší verze 11.x  

  • Adobe Acrobat X (10.1.13) a starší verze 10.x

Poznámka: Čísla CVE uvedená v tomto dokumentu se netýkají aplikace Adobe Acrobat Reader DC.

 

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:

Adobe Reader

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Adobe Reader se systémem Windows najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Uživatelé aplikace Adobe Reader s počítačem Macintosh najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.

Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Priorita a závažnost

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat své instalace na nejnovější verze:

Produkt Aktualizovaná verze Platforma Hodnocení priority
Adobe Reader 11.0.11
Windows a Macintosh
1
  10.1.14
Windows a Macintosh 1
       
Adobe Acrobat 11.0.11 Windows a Macintosh 1
  10.1.14 Windows a Macintosh 1

Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.

Podrobnosti

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.   Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:

  • Uživatelé aplikace Adobe Reader XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11.

  • Uživatelé aplikace Adobe Reader X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.

  • Uživatelé aplikace Adobe Acrobat XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11. 

  • Uživatelé aplikace Adobe Acrobat X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.

Tyto aktualizace řeší chyby zabezpečení typu „use-after-free“, které mohou vést ke spuštění kódu (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Tyto aktualizace opravují chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což může vést ke spuštění kódu (, CVE-2014-9160).

Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2015-3048).

Tyto aktualizace řeší chyby v zabezpečení spočívající v poškození paměti, které by mohly vést ke spuštění kódu (-2014-9161, CVE-3076-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-, CVE-2015). 

Tyto aktualizace řeší únik paměti (CVE-2015-3058).  

Tyto aktualizace brání různým metodám obejití omezení pro spuštění javascriptového rozhraní API (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Tyto aktualizace řeší problém s odloženým vysíláním nulového ukazatele, které by mohlo umožnit útok Denial of Service (CVE-2015-3047). 

Tyto aktualizace poskytují dodatečnou ochranu před chybou zabezpečení CVE-2014-8452 v manipulaci s externími entitami XML, která by mohla vést k poskytnutí informací.  

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím: 

  • AbdulAziz Hariri z programu HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ ze společnosti Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Anonymní hlášení na stránce SecuriTeam Secure Disclosure společnosti Beyond Security  (CVE-2015-3075) 

  • bilou spolupracující v rámci programu HP Zero Day Initiative (CVE-2015-3059) 

  • Brian Gorenc z programu HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein z programu HP Zero Day Initiative (CVE-2015-3069) 

  • instruder z týmu Alibaba Security Research Team (CVE-2015-3070) 

  • lokihardt@asrt zapojený do programu Zero Day Initiative společnosti HP (CVE-2015-3074) 

  • Mateusz Jurczyk z týmu Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk z týmu Google Project Zero a Gynvael Coldwind z týmu Google Security Team (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun spolupracující v rámci programu HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, Wu Hongjun a Wang Jing z vysoké školy Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei a Wu Hongjun z vysoké školy Nanyang Technological University (CVE-2015-3046) 

  • Xiaoning Li ze společnosti Intel Labs a Haifei Li z týmu McAfee Labs IPS Team (CVE-2015-3048)