Adobe Digital Editionsin tietoturvapäivitys saatavana | APSB17-20
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB17-20 13. kesäkuuta 2017 3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Digital Editionsin Windows-, Macintosh-, iOS- ja Android-versioihin. Tämä päivitys ratkaisee kriittisiä muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen, kolme tärkeäksi luokiteltua haavoittuvuutta, jotka voivat johtaa käyttöoikeuksien laajentumiseen, sekä kaksi  tärkeää muistin vioittumisen haavoittuvuutta, jotka voivat johtaa muistiosoitteiden paljastumiseen.

Alttiit tuoteversiot

Tuote versio Ympäristö
Adobe Digital Editions 4.5.4 ja aiemmat versiot Windows, Macintosh, iOS ja Android

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote versio Ympäristö Prioriteetti Saatavuus
Adobe Digital Editions 4.5.5 Windows 3 Lataussivu
Macintosh 3 Lataussivu
iOS 3 iTunes
Android 3 Play Kauppa

Huomautus:

  • Adobe Digital Editions 4.5.4:n käyttäjät voivat joko ladata päivityksen Adobe Digital Editionsin lataussivulta tai käyttää tuotteen päivitysmekanismia sitä pyydettäessä.
  • Lisätietoja on julkaisutiedoissa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numerot
Muistin vioittuminen Koodin etäsuoritus Kriittinen CVE-2017-3088, CVE-2017-3089, CVE-2017-3093, CVE-2017-3096
Turvattoman kirjaston lataus Käyttöoikeuksien laajentuminen Tärkeä CVE-2017-3090, CVE-2017-3092, CVE-2017-3097
Pinon ylivuoto Muistiosoitteen paljastuminen Tärkeä CVE-2017-3094, CVE-2017-3095

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Ke Liu Tencentin Xuanwu LABista (CVE-2017-3088)
  • Fortinetin FortiGuard Labs (CVE-2017-3089)
  • Nimetön ilmoittaja (CVE-2017-3090)
  • John Carroll, https://ctus.io (CVE-2017-3092)
  • riusksk (泉哥) Tencent Security Platform Departmentista (CVE-2017-3093, CVE-2017-3094, CVE-2017-3095 ja CVE-2017-3096)
  • Yuji Tounai (@yousukezan) yhdessä NTT Communications Corporationin kanssa (CVE-2017-3090 ja CVE-2017-3097)