Adobe Digital Editionsin tietoturvapäivitys

Julkaisupäivä: 14. helmikuuta 2017

Päivitetty viimeksi: 17. helmikuuta 2017

Haavoittuvuuden tunniste: APSB17-05

Prioriteetti: 3

CVE-numerot: CVE-2017-2973, CVE-2017-2974, CVE-2017-2975, CVE-2017-2976, CVE-2017-2977, CVE-2017-2978, CVE-2017-2979, CVE-2017-2980 ja CVE-2017-2981    

Ympäristö: Windows, Macintosh, iOS ja Android

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Digital Editionsin Windows-, Macintosh-, iOS- ja Android-versioihin. Päivitys ratkaisee kriittisen pinopuskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen, ja tärkeitä puskurin ylivuoto-ongelmia, jotka voivat johtaa muistin ylivuotoon.

Versiot

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Adobe Digital Editions 4.5.3 ja aiemmat versiot Windows, Macintosh, iOS ja Android

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Saatavuus
    Windows
3 Lataussivu
Adobe Digital Editions 4.5.4 Macintosh 3 Lataussivu
    iOS 3 iTunes
    Android 3 Play Kauppa

Adobe Digital Editions 4.5.3:n käyttäjät voivat joko ladata päivityksen Adobe Digital Editionsin lataussivulta tai käyttää tuotteen päivitysmekanismia sitä pyydettäessä.

Lisätietoja on julkaisutiedoissa.

Lisätietoja haavoittuvuuksista

  • Päivitys ratkaisee haavoittuvuuden, joka voi johtaa pinopuskurin ylivuoto-ongelmaan, mikä voi puolestaan johtaa koodin suoritukseen (CVE-2017-2973). 
  • Päivitys ratkaisee puskurin ylivuotohaavoittuvuuksia, jotka voivat johtaa muistin ylivuotoon (CVE-2017-2974, CVE-2017-2975, CVE-2017-2976, CVE-2017-2978, CVE-2017-2977, CVE-2017-2979, CVE-2017-2980 ja CVE-2017-2981).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2974, CVE-2017-2975, CVE-2017-2976, CVE-2017-2977, CVE-2017-2978, CVE-2017-2979 ja CVE-2017-2981). 
  • Steven Seeley Source Incitesta (CVE-2017-2980).
  • Ke Liu Tencentin Xuanwu LABista (CVE-2017-2973).

Versiot

17. helmikuuta 2017: lisätty iOS-käyttöjärjestelmän julkaisutiedot.