Sikkerhedsopdateringer til Adobe Reader og Acrobat

Udgivelsesdato: 12. maj 2015

Id for sikkerhedsproblem: APSB15-10

Prioritet: Se tabel nedenfor

CVE-numre: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Platform: Windows og Macintosh

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Reader og Acrobat til Windows og Macintosh. Disse opdateringer vedrører sikkerhedsproblemer, der potentielt kan give en hacker mulighed for at få kontrol over det berørte system.  Adobe anbefaler, at brugerne opdaterer deres produktinstallationer med de seneste versioner: 

  • Brugere af Adobe Reader XI (11.0.10) og tidligere versioner bør opdatere til version 11.0.11. 

  • Brugere af Adobe Reader X (10.1.13) og tidligere versioner bør opdatere til version 10.1.14. 

  • Brugere af Adobe Reader XI (11.0.10) og tidligere versioner bør opdatere til version 11.0.11. 

  • Brugere af Adobe Reader X (10.1.13) og tidligere versioner bør opdatere til version 10.1.14.

Berørte softwareversioner

  • Adobe Reader XI (11.0.10) og tidligere 11.x-versioner 

  • Adobe Reader X (10.1.13) og tidligere 10.x-versioner  

  • Adobe Reader XI (11.0.10) og tidligere 11.x-versioner  

  • Adobe Reader X (10.1.13) og tidligere 10.x-versioner

Bemærk: Adobe Acrobat Reader DC er ikke berørt af de CVE'er, der henvises til i denne sikkerhedsbulletin.

 

Løsning

Adobe anbefaler, at brugerne opdaterer deres software ved at følge nedenstående anvisninger:

Adobe Reader

Produktets standardopdateringsmekanisme er indstillet til automatisk at hente opdateringer med regelmæssige mellemrum. Der kan kontrolleres for opdateringer manuelt ved at vælge Hjælp > Kontroller for opdateringer.

Brugere af Adobe Reader til Windows kan finde den relevante opdatering her: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Brugere af Adobe Reader til Macintosh kan finde den relevante opdatering her: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

Produktets standardopdateringsmekanisme er indstillet til automatisk at hente opdateringer med regelmæssige mellemrum. Der kan kontrolleres for opdateringer manuelt ved at vælge Hjælp > Kontroller for opdateringer.

Brugere af Adobe Standard og Pro til Windows kan finde den relevante opdatering her: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Brugere af Adobe Pro til Macintosh kan finde den relevante opdatering her: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Prioritets- og alvorlighedsgrader

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Opdateret version Platform Prioritetsgrad
Adobe Reader 11.0.11
Windows og Macintosh
1
  10.1.14
Windows og Macintosh 1
       
Adobe Acrobat 11.0.11 Windows og Macintosh 1
  10.1.14 Windows og Macintosh 1

Disse opdateringer løser kritiske sikkerhedsproblemer i softwaren.

Yderligere oplysninger

Adobe har frigivet sikkerhedsopdateringer til Adobe Reader og Acrobat til Windows og Macintosh. Disse opdateringer vedrører sikkerhedsproblemer, der potentielt kan give en hacker mulighed for at få kontrol over det berørte system.  Adobe anbefaler, at brugerne opdaterer deres produktinstallationer med de seneste versioner:

  • Brugere af Adobe Reader XI (11.0.10) og tidligere versioner bør opdatere til version 11.0.11.

  • Brugere af Adobe Reader X (10.1.13) og tidligere versioner bør opdatere til version 10.1.14.

  • Brugere af Adobe Reader XI (11.0.10) og tidligere versioner bør opdatere til version 11.0.11. 

  • Brugere af Adobe Reader X (10.1.13) og tidligere versioner bør opdatere til version 10.1.14.

Disse opdateringer løser sikkerhedsproblemer med use-after-free, som kan medføre kodekørsel (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Disse opdateringer løser sikkerhedsproblemer med heap-baseret buffer-overflow, der kan medføre kodekørsel (CVE-2014-9160).

Disse opdateringer løser et sikkerhedsproblem med buffer-overflow, der kan medføre kodekørsel (CVE-2015-3048).

Disse opdateringer løser sikkerhedsproblemer med ødelæggelse af hukommelsen, der kan medføre kodekørsel (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Disse opdateringer løser et sikkerhedsproblem med ødelæggelse af hukommelsen (CVE-2015-3058).  

Disse opdateringer løser sikkerhedsproblemer med forskellige metoder til tilsidesættelse af begrænsninger på Javascript API- kørsel (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Disse opdateringer løser et sikkerhedsproblem med null-pointer dereference, der kan medføre en denial-of-service-tilstand (CVE-2015-3047). 

Disse opdateringer giver øget beskyttelse mod CVE-2014-8452, et sikkerhedsproblem i forbindelse med håndtering af XML external entities, der kan medføre afsløring af oplysninger.  

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder: 

  • AbdulAziz Hariri fra  HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ fra  Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Anonymt rapporteret via Beyond Security's SecuriTeam Secure Disclosure (CVE-2015-3075)

  • bilou i samarbejde med HP Zero Day Initiative (CVE-2015-3059) 

  • Brian Gorenc fra  HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein fra  HP Zero Day Initiative (CVE-2015-3069) 

  • instruder fra Alibaba Security Research Team (CVE-2015-3070)

  • lokihardt@asrt i samarbejde med HPs Zero Day Initiative (CVE-2015-3074) 

  • Mateusz Jurczyk fra Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk fra Google Project Zero and Gynvael Coldwind of Google Security Team (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun i samarbejde med HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, Wu Hongjun og Wang Jing fra Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei og Wu Hongjun fra Nanyang Technological University (CVE-2015-3046) 

  • Xiaoning Li fra Intel Labs og Haifei Li fra McAfee Labs IPS Team (CVE-2015-3048)