Adoben tietoturvatiedote

Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 14. heinäkuuta 2015

Haavoittuvuuden tunniste: APSB15-15

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114 ja CVE-2015-5115

Käyttöympäristöt: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 2015.007.20033
Windows ja Macintosh
Acrobat Reader DC Jatkuva 2015.007.20033
Windows ja Macintosh
       
Acrobat DC Perinteinen 2015.006.30033
Windows ja Macintosh
Acrobat Reader DC Perinteinen 2015.006.30033
Windows ja Macintosh
       
Acrobat XI E/S 11.0.11 ja aiemmat versiot Windows ja Macintosh
Acrobat X E/S 10.1.14 ja aiemmat versiot Windows ja Macintosh
       
Reader XI E/S 11.0.11 ja aiemmat versiot Windows ja Macintosh
Reader X E/S 10.1.14 ja aiemmat versiot Windows ja Macintosh

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiään päivittämään ohjelmistoasennuksensa uusimpaan versioon jollakin seuraavista tavoista:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.  
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.  
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.  

IT-päälliköt (hallinnoidut ympäristöt):  

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta. 
Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2015.008.20082
Windows ja Macintosh 2

Windows

Macintosh

Acrobat Reader DC Jatkuva 2015.008.20082
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 2015.006.30060
Windows ja Macintosh
2

Windows

Macintosh

Acrobat Reader DC Perinteinen 2015.006.30060
Windows ja Macintosh 2

Windows

Macintosh

           
Acrobat XI E/S 11.0.12 Windows ja Macintosh 2

Windows

Macintosh

Acrobat X E/S 10.1.15 Windows ja Macintosh 2

Windows

Macintosh

           
Reader XI E/S 11.0.12 Windows ja Macintosh 2

Windows

Macintosh

Reader X E/S 10.1.15 Windows ja Macintosh 2

Windows

Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-5093).  
  • Nämä päivitykset ratkaisevat kekopuskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5096, CVE-2015-5098 ja CVE-2015-5105).  
  • Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115 ja CVE-2014-0566). 
  • Nämä päivitykset ratkaisevat tietovuotoihin johtavan haavoittuvuuden (CVE-2015-5107).  
  • Nämä päivitykset ratkaisevat turvallisuuden ohituksen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092 ja CVE-2014-8450).  
  • Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-5110). 
  • Nämä päivitykset ratkaisevat haavoittuvuuksia, jotka kohdistuvat muistin vapauttamisen jälkeiseen tilaan ja jotka voivat johtaa koodin suoritukseen (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113 ja CVE-2015-5114). 
  • Nämä päivitykset ratkaisevat tarkistusten ohituksiin liittyviä ongelmia, joita hyödyntämällä alhaisen käyttöoikeustason valtuudet voidaan nostaa keskitason valtuuksiksi (CVE-2015-4446, CVE-2015-5090 ja CVE-2015-5106). 
  • Nämä päivitykset ratkaisevat tarkistusten ohitukseen liittyviä ongelmia, joita hyödyntämällä järjestelmään voidaan aiheuttaa palvelunestotila (CVE-2015-5091).  
  • Nämä päivitykset ratkaisevat kokonaisluvun ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5097, CVE-2015-5108 ja CVE-2015-5109).  
  • Nämä päivitykset ratkaisevat erilaisia haavoittuvuuksia, jotka voivat johtaa JavaScript API -suorituksen rajoitusten ohittamiseen (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085 ja CVE-2015-5086).  
  • Nämä päivitykset ratkaisevat nollaosoittimen viittausongelmat, jotka voivat johtaa palvelunestotilaan (CVE-2015-4443 ja CVE-2015-4444). 

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

  • AbdulAziz Hariri ja Jasiel Spelman HP:n Zero Day Initiative -ohjelmasta (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090 ja CVE-2015-5091) 
  • AbdulAziz Hariri HP:n Zero Day Initiative -ohjelmasta (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114 ja CVE-2015-5115) 
  • Alex Inführ Cure53.de-yhtiöstä (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089 ja CVE-2014-8450)
  • bilou yhdessä VeriSign iDefense Labsin kanssa (CVE-2015-4448 ja CVE-2015-5099)
  • Brian Gorenc HP:n Zero Day Initiative -ohjelmasta (CVE-2015-5100 ja CVE-2015-5111) 
  • Security Research Team -tiimi MWR Labsista (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw, Google Project Zero (CVE-2015-4446) 
  • Jihui Lu Keen-tiimistä (CVE-2015-5087)
  • JinCheng Liu Alibaba Security Research Teamistä (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098 ja CVE-2015-5105) 
  • Keen-tiimi yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-5108)
  • kernelsmith yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-4435 ja CVE-2015-4441)
  • Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2015-3095) 
  • Matt Molinyawe HP:n Zero Day Initiative -ohjelmasta (CVE-2015-4445) 
  • Mauro Gentile Minded Security -yhtiöstä (CVE-2015-5092) 
  • Nicolas Joly yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109 ja CVE-2015-5110) 
  • Wei Lei ja Wu Hongjun Nanyang Nanyangin teknisestä yliopistosta (CVE-2014-0566)
  • Wu Ha Alibaba Security Research Teamistä (CVE-2015-4443 ja CVE-2015-4444)