Adobe Digital Editionsin tietoturvapäivitys saatavana | APSB17-27
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB17-27 8. elokuuta 2017 2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Digital Editionsin Windows-, Macintosh-, iOS- ja Android-versioihin. Tämä päivitys ratkaisee kriittisen pinopuskurin ylivuotohaavoittuvuuden, joka voi johtaa koodin suorittamiseen, seitsemän tärkeää muistin vioittumishaavoittuvuutta, jotka voivat johtaa muistiosoitteiden paljastumiseen, ja kriittisen ulkoisen XML-elementin käsittelyhaavoittuvuuden, joka voi johtaa tietojen paljastumiseen.

Alttiit tuoteversiot

Tuote versio Ympäristö
Adobe Digital Editions 4.5.5 ja aiemmat versiot Windows, Macintosh, iOS ja Android

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote versio Ympäristö Prioriteetti Saatavuus
Adobe Digital Editions 4.5.6 Windows 2 Lataussivu
Macintosh 2 Lataussivu
iOS 2 iTunes
Android 2 Play Kauppa

Huomautus:

  • Adobe Digital Editions 4.5.5:n käyttäjät voivat joko ladata päivityksen Adobe Digital Editionsin lataussivulta tai käyttää tuotteen päivitysmekanismia sitä pyydettäessä.
  • Lisätietoja on julkaisutiedoissa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numerot
Puskurin ylivuoto Koodin etäsuoritus Kriittinen CVE-2017-11274
Muistin vioittuminen Muistiosoitteen paljastuminen Tärkeä CVE-2017-3091, CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279 ja CVE-2017-11280
Ulkoisen XML-elementin jäsennys Tietojen paljastuminen Kriittinen CVE-2017-11272

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Steven Seeley Source Incitesta (CVE-2017-11272)
  • Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-3091 ja CVE-2017-11274)
  • Jaanus Kääp Clarified Securitystä (CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278 ja CVE-2017-11279)
  • Riusksk Tencent Security Platform Departmentista (CVE-2017-11280)