Zveřejnění aktualizací zabezpečení pro aplikace Adobe Reader a Acrobat
Datum vydání: 12. května 2015
Identifikátor chyby zabezpečení: APSB15-10
Priorita: Viz tabulka níže
Čísla CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Platforma: Windows a Macintosh
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:
Uživatelé aplikace Adobe Reader XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11.
Uživatelé aplikace Adobe Reader X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.
Uživatelé aplikace Adobe Acrobat XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11.
Uživatelé aplikace Adobe Acrobat X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.
Dotčené verze softwaru
Adobe Reader XI (11.0.10) a starší verze 11.x
Adobe Reader X (10.1.13) a starší verze 10.x
Adobe Acrobat XI (11.0.10) a starší verze 11.x
- Adobe Acrobat X (10.1.13) a starší verze 10.x
Poznámka: Čísla CVE uvedená v tomto dokumentu se netýkají aplikace Adobe Acrobat Reader.
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace produktů podle následujícího návodu:
Adobe Reader
Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.
Uživatelé aplikace Adobe Reader se systémem Windows najdou požadovanou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Uživatelé aplikace Adobe Reader s počítačem Macintosh najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Výchozí aktualizační mechanismus produktu je nastaven na automatické spuštění zjišťování dostupné aktualizace v pravidelném intervalu. Zjišťování dostupné aktualizace lze spustit ručně volbou možnosti Nápověda > Zkontrolovat aktualizace.
Uživatelé aplikace Acrobat Standard a Pro se systémem Windows najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Uživatelé aplikace Acrobat Pro s počítačem Macintosh najdou vhodnou aktualizaci zde: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Priorita a závažnost
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat své instalace na nejnovější verze:
Aktualizovaná verze |
Platforma |
Hodnocení priority |
|
Adobe Reader |
11.0.11 |
Windows a Macintosh |
1 |
|
10.1.14 |
Windows a Macintosh |
1 |
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows a Macintosh |
1 |
|
10.1.14 |
Windows a Macintosh |
1 |
Tyto aktualizace řeší kritické chyby zabezpečení v softwaru.
Podrobnosti
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Reader a aplikace Acrobat pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší chyby zabezpečení, které mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem. Společnost Adobe doporučuje uživatelům aktualizovat nainstalované produkty na nejnovější verze:
Uživatelé aplikace Adobe Reader XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11.
Uživatelé aplikace Adobe Reader X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.
Uživatelé aplikace Adobe Acrobat XI (11.0.10) a starších verzí by měli provést aktualizaci na verzi 11.0.11.
Uživatelé aplikace Adobe Acrobat X (10.1.13) a starších verzí by měli provést aktualizaci na verzi 10.1.14.
Tyto aktualizace řeší chyby zabezpečení typu „use-after-free“, které mohou vést ke spuštění kódu (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
Tyto aktualizace opravují chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, což může vést ke spuštění kódu (, CVE-2014-9160).
Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2015-3048).
Tyto aktualizace řeší chyby v zabezpečení spočívající v poškození paměti, které by mohly vést ke spuštění kódu (-2014-9161, CVE-3076-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-, CVE-2015).
Tyto aktualizace řeší únik paměti (CVE-2015-3058).
Tyto aktualizace brání různým metodám obejití omezení pro spuštění javascriptového rozhraní API (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
Tyto aktualizace řeší problém s odloženým vysíláním nulového ukazatele, které by mohlo umožnit útok Denial of Service (CVE-2015-3047).
Tyto aktualizace poskytují dodatečnou ochranu před chybou zabezpečení CVE-2014-8452 v manipulaci s externími entitami XML, která by mohla vést k poskytnutí informací.
Poděkování
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
AbdulAziz Hariri z programu HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Alex Inführ ze společnosti Cure53.de (CVE-2014-8452, CVE-2015-3076)
Anonymní hlášení na stránce SecuriTeam Secure Disclosure společnosti Beyond Security (CVE-2015-3075)
bilou spolupracující v rámci programu HP Zero Day Initiative (CVE-2015-3059)
Brian Gorenc z programu HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
Dave Weinstein z programu HP Zero Day Initiative (CVE-2015-3069)
instruder z týmu Alibaba Security Research Team (CVE-2015-3070)
lokihardt@asrt zapojený do programu Zero Day Initiative společnosti HP (CVE-2015-3074)
Mateusz Jurczyk z týmu Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Mateusz Jurczyk z týmu Google Project Zero a Gynvael Coldwind z týmu Google Security Team (CVE-2014-9160, CVE-2014-9161)
Simon Zuckerbraun spolupracující v rámci programu HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062)
Wei Lei, Wu Hongjun a Wang Jing z vysoké školy Nanyang Technological University (CVE-2015-3047)
Wei Lei a Wu Hongjun z vysoké školy Nanyang Technological University (CVE-2015-3046)
Xiaoning Li ze společnosti Intel Labs a Haifei Li z týmu McAfee Labs IPS Team (CVE-2015-3048)