Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Reader und Acrobat

Freigabedatum: 16. September 2014

Kennung der Sicherheitslücke: APSB14-20

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Anwendern von Adobe Reader XI (11.0.08) und älteren Versionen wird empfohlen, auf die Version 11.0.09 zu aktualisieren.
  • Für Anwender von Adobe Reader X (10.1.11) und älteren Versionen, bei denen ein Update auf die Version 11.0.09 nicht möglich ist, hat Adobe die Version 10.1.12 zur Verfügung gestellt.
  • Anwendern von Adobe Reader XI (11.0.08) und älteren Versionen wird empfohlen, auf die Version 11.0.09 zu aktualisieren.
  • Für Anwender von Adobe Reader X (10.1.11) und älteren Versionen, bei denen ein Update auf die Version 11.0.09 nicht möglich ist, hat Adobe die Version 10.1.12 zur Verfügung gestellt.

Betroffene Softwareversionen

  • Adobe Reader XI (11.0.08) und frühere 11.x-Versionen für Windows
  • Adobe Reader X (11.0.07) und frühere 11.x-Versionen für Macintosh
  • Adobe Reader X (10.1.11) und frühere 10.x-Versionen für Windows
  • Adobe Reader X (10.1.10) und frühere 10.x-Versionen für Macintosh
  • Adobe Acrobat XI (11.0.08) und frühere 11.x-Versionen für Windows
  • Adobe Reader X (11.0.07) und frühere 11.x-Versionen für Macintosh
  • Adobe Acrobat X (10.1.11) und frühere 10.x-Versionen für Windows
  • Adobe Acrobat X (10.1.10) und frühere 10.x-Versionen für Macintosh

Lösung

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

Adobe Reader

In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.

Anwender von Adobe Reader für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Anwender von Adobe Reader für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.

Anwender von Acrobat Standard und Pro für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Anwender von Acrobat Pro für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Priorität und Schweregrad

Adobe stuft die Priorität dieser Updates wie folgt ein; die Installation wird allen Anwendern empfohlen:

Produkt Aktualisierte Version Plattform Priorität
Adobe Reader XI 11.0.09
Windows und Macintosh
1
Adobe Reader X 10.1.12
Windows und Macintosh 1
Adobe Acrobat XI 11.0.09
Windows und Macintosh
1
Adobe Acrobat X
10.1.12
Windows und Macintosh
1

Diese Updates beheben kritische Sicherheitslücken in der Software.

Details

Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Anwendern von Adobe Reader XI (11.0.08) und älteren Versionen wird empfohlen, auf die Version 11.0.09 zu aktualisieren.
  • Für Anwender von Adobe Reader X (10.1.11) und älteren Versionen, bei denen ein Update auf die Version 11.0.09 nicht möglich ist, hat Adobe die Version 10.1.12 zur Verfügung gestellt.
  • Anwendern von Adobe Reader XI (11.0.08) und älteren Versionen wird empfohlen, auf die Version 11.0.09 zu aktualisieren.
  • Für Anwender von Adobe Reader X (10.1.11) und älteren Versionen, bei denen ein Update auf die Version 11.0.09 nicht möglich ist, hat Adobe die Version 10.1.12 zur Verfügung gestellt.

Die Updates schließen eine Sicherheitslücke, die durch Weiterverwendung nach Speicherfreigabe verursacht wird und die Ausführung von Code ermöglicht (CVE-2014-0560).

Diese Updates schließen eine Sicherheitslücke beim universellen websiteübergreifenden Skripting (Universal Cross-Site Scripting, USSX) in Acrobat und Reader auf Macintosh-Plattformen (CVE-2014-0562).

Diese Updates schließen eine Sicherheitslücke, bei der infolge einer Beschädigung des Arbeitsspeichers eine Dienstverweigerung (Denial of Service, DoS) möglich wäre (CVE-2014-0563).

Diese Updates schließen eine Sicherheitslücke, bei der infolge eines Heap-Überlaufs die Ausführung von Code möglich wäre (CVE-2014-0561, CVE-2014-0567).

Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2014-0565, CVE-2014-0566).

Diese Updates schließen Sicherheitslücken, bei der eine Sandbox-Umgehung so ausgenutzt werden könnten, dass auf Windows-Systemen die Ausführung von nativem Code mit höheren Berechtigungen möglich wäre.

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Wei Lei und Wu Hongjun von der Nanyang Technological University in Zusammenarbeit mit Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2014-0561)
  • Frans Rosen von Detectify (CVE-2014-0562)
  • Wei-Leu und Wu Hongjun von der Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Anonym über die Zero Day Initiative von HP gemeldet (CVE-2014-0567)
  • James Forshaw vom Google Project Zero (CVE-2014-0568)