Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Acrobat und Reader

Erstmals veröffentlicht am: 13. Oktober 2015

Zuletzt aktualisiert am:11. Dezember 2015 

Kennung der Sicherheitslücke: APSB15-24

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2015-5583, CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6685, CVE-2015-6686, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-6691, CVE-2015-6692, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6696, CVE-2015-6697, CVE-2015-6698, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6705, CVE-2015-6706, CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7614, CVE-2015-7615, CVE-2015-7616, CVE-2015-7617, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7621, CVE-2015-7622, CVE-2015-7623, CVE-2015-7624, CVE-2015-7650, CVE-2015-8458

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC Fortlaufend 2015.008.20082 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Fortlaufend 2015.008.20082 und frühere Versionen
Windows und Macintosh
       
Adobe Acrobat DC Klassisch 2015.006.30060 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Klassisch 2015.006.30060 und frühere Versionen
Windows und Macintosh
       
Acrobat XI Nur Desktop-Applikation 11.0.12 und frühere Versionen Windows und Macintosh
Reader XI Nur Desktop-Applikation 11.0.12 und frühere Versionen Windows und Macintosh
       
Acrobat X Nur Desktop-Applikation 10.1.15 und frühere Versionen Windows und Macintosh
Reader X Nur Desktop-Applikation 10.1.15 und frühere Versionen Windows und Macintosh

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann aus dem Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.
Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC Fortlaufend 2015.009.20069
Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader DC Fortlaufend 2015.009.20069
Windows und Macintosh 2 Download-Center
           
Adobe Acrobat DC Klassisch 2015.006.30094
Windows und Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisch 2015.006.30094
Windows und Macintosh 2 Windows
Macintosh
           
Acrobat XI Nur Desktop-Applikation 11.0.13 Windows und Macintosh 2 Windows
Macintosh
Reader XI Nur Desktop-Applikation 11.0.13 Windows und Macintosh 2 Windows
Macintosh
           
Acrobat X Nur Desktop-Applikation 10.1.16 Windows und Macintosh 2 Windows
Macintosh
Reader X Nur Desktop-Applikation 10.1.16 Windows und Macintosh 2 Windows
Macintosh

Details zu Sicherheitslücken

  • Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs entsteht und die Offenlegung von Informationen ermöglicht (CVE-2015-6692).
  • Diese Updates schließen Use-after-free-Sicherheitslücken, die Ausführung von Code ermöglichen (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683).
  • Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-6696, CVE-2015-6698, CVE-2015-8458).
  • Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6686, CVE-2015-7622, CVE-2015-7650).
  • Diese Updates schließen Speicherleck-Sicherheitslücken (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697).
  • Diese Updates schließen eine Sicherheitslücke, die Angreifern das Umgehen von Sicherheitsabfragen und die Offenlegung von Informationen ermöglicht (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624).
  • Diese Updates verhindern diverse Methoden zum Umgehen der Einschränkungen bezüglich der JavaScript-API-Ausführung (CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7623, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715).

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • AbdulAziz Hariri von der Zero Day Initiative von HP(CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6697, CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6707)
  • AbdulAziz Hariri und Jasiel Spelman von der Zero Day Initiative von HP (CVE-2015-5583, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704)
  • Alex Inführ von Cure53.de (CVE-2015-6705, CVE-2015-6706)
  • Bill Finlayson von Vectra Networks (CVE-2015-6687)
  • bilou in Zusammenarbeit mit VeriSign iDefense Labs (CVE-2015-6684)
  • Brian Gorenc von der Zero Day Initiative von HP (CVE-2015-6686)
  • Francis Provencher von COSIG (CVE-2015-7622)
  • Jaanus Kp von Clarified Security in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-6696, CVE-2015-6698)
  • Jack Tang von TrendMicro (CVE-2015-6692)
  • James Loureiro von MWR Labs (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • kdot in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-7621, CVE-2015-7650)
  • Matt Molinyawe und Jasiel Spelman von der Zero Day Initiative von HP (CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620)
  • Matt Molinyawe von der Zero Day-Initiative von HP (CVE-2015-7623)
  • WanderingGlitch von der Zero Day Initiative von HP (CVE-2015-6713, CVE-2015-6714, CVE-2015-6715)
  • Wei-Leu und Wu Hongjun von der Nanyang Technological University (CVE-2015-5586)
  • Wei Lei und Wu Hongjun von der Nanyang Technological University in Zusammenarbeit mit Verisign iDefense Labs (CVE-2015-6683)
  • AbdulAziz Hariri und Jasiel Spelman von der Zero Day Initiative von HP für ihre Defense-in-Depth-Beiträge (CVE-2015-7829)
  • Fritz Sands in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-8458)

Historie

29. Oktober: Es wurde ein Verweis auf die als Sicherheitslücke in Acrobat und Reader gemeldete CVE-2015-7829 hinzugefügt, die aber über einen in MS15-090 aufgeführten Sicherheitsfix in Windows behoben wurde.  Außerdem wurde ein Verweis auf CVE-2015-7650 hinzugefügt, die in der Version von Acrobat und Reader vom 13. Oktober behoben, aber versehentlich nicht in den Bulletins aufgeführt wurde. 

11. Dezember: Es wurde ein Verweis auf CVE-2015-8458 hinzugefügt, die in der Version von Acrobat und Reader vom 13. Oktober behoben, aber versehentlich nicht in den Bulletins aufgeführt wurde.