Julkaisupäivä: 14. heinäkuuta 2015
Haavoittuvuuden tunniste: APSB15-15
Prioriteetti: Katso alla oleva taulukko
CVE-numerot: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114 ja CVE-2015-5115
Käyttöympäristöt: Windows ja Macintosh
Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.
Tuote | seurataan | Versiot | Ympäristö |
---|---|---|---|
Acrobat DC | Jatkuva | 2015.007.20033 |
Windows ja Macintosh |
Acrobat Reader DC | Jatkuva | 2015.007.20033 |
Windows ja Macintosh |
Acrobat DC | Perinteinen | 2015.006.30033 |
Windows ja Macintosh |
Acrobat Reader DC | Perinteinen | 2015.006.30033 |
Windows ja Macintosh |
Acrobat XI | E/S | 11.0.11 ja aiemmat versiot | Windows ja Macintosh |
Acrobat X | E/S | 10.1.14 ja aiemmat versiot | Windows ja Macintosh |
Reader XI | E/S | 11.0.11 ja aiemmat versiot | Windows ja Macintosh |
Reader X | E/S | 10.1.14 ja aiemmat versiot | Windows ja Macintosh |
Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.
Adobe suosittelee käyttäjiään päivittämään ohjelmistoasennuksensa uusimpaan versioon jollakin seuraavista tavoista:
- Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
- Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu.
- Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
IT-päälliköt (hallinnoidut ympäristöt):
- Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
- Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Tuote | seurataan | Päivitetyt versiot | Ympäristö | Prioriteettiluokitus | Saatavuus |
---|---|---|---|---|---|
Acrobat DC | Jatkuva | 2015.008.20082 |
Windows ja Macintosh | 2 | |
Acrobat Reader DC | Jatkuva | 2015.008.20082 |
Windows ja Macintosh | 2 | Latauskeskus |
Acrobat DC | Perinteinen | 2015.006.30060 |
Windows ja Macintosh |
2 | |
Acrobat Reader DC | Perinteinen | 2015.006.30060 |
Windows ja Macintosh | 2 | |
Acrobat XI | E/S | 11.0.12 | Windows ja Macintosh | 2 | |
Acrobat X | E/S | 10.1.15 | Windows ja Macintosh | 2 | |
Reader XI | E/S | 11.0.12 | Windows ja Macintosh | 2 | |
Reader X | E/S | 10.1.15 | Windows ja Macintosh | 2 |
- Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-5093).
- Nämä päivitykset ratkaisevat kekopuskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5096, CVE-2015-5098 ja CVE-2015-5105).
- Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115 ja CVE-2014-0566).
- Nämä päivitykset ratkaisevat tietovuotoihin johtavan haavoittuvuuden (CVE-2015-5107).
- Nämä päivitykset ratkaisevat turvallisuuden ohituksen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092 ja CVE-2014-8450).
- Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2015-5110).
- Nämä päivitykset ratkaisevat haavoittuvuuksia, jotka kohdistuvat muistin vapauttamisen jälkeiseen tilaan ja jotka voivat johtaa koodin suoritukseen (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113 ja CVE-2015-5114).
- Nämä päivitykset ratkaisevat tarkistusten ohituksiin liittyviä ongelmia, joita hyödyntämällä alhaisen käyttöoikeustason valtuudet voidaan nostaa keskitason valtuuksiksi (CVE-2015-4446, CVE-2015-5090 ja CVE-2015-5106).
- Nämä päivitykset ratkaisevat tarkistusten ohitukseen liittyviä ongelmia, joita hyödyntämällä järjestelmään voidaan aiheuttaa palvelunestotila (CVE-2015-5091).
- Nämä päivitykset ratkaisevat kokonaisluvun ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-5097, CVE-2015-5108 ja CVE-2015-5109).
- Nämä päivitykset ratkaisevat erilaisia haavoittuvuuksia, jotka voivat johtaa JavaScript API -suorituksen rajoitusten ohittamiseen (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085 ja CVE-2015-5086).
- Nämä päivitykset ratkaisevat nollaosoittimen viittausongelmat, jotka voivat johtaa palvelunestotilaan (CVE-2015-4443 ja CVE-2015-4444).
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- AbdulAziz Hariri ja Jasiel Spelman HP:n Zero Day Initiative -ohjelmasta (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090 ja CVE-2015-5091)
- AbdulAziz Hariri HP:n Zero Day Initiative -ohjelmasta (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114 ja CVE-2015-5115)
- Alex Inführ Cure53.de-yhtiöstä (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089 ja CVE-2014-8450)
- bilou yhdessä VeriSign iDefense Labsin kanssa (CVE-2015-4448 ja CVE-2015-5099)
- Brian Gorenc HP:n Zero Day Initiative -ohjelmasta (CVE-2015-5100 ja CVE-2015-5111)
- Security Research Team -tiimi MWR Labsista (@mwrlabs) (CVE-2015-4451)
- James Forshaw, Google Project Zero (CVE-2015-4446)
- Jihui Lu Keen-tiimistä (CVE-2015-5087)
- JinCheng Liu Alibaba Security Research Teamistä (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098 ja CVE-2015-5105)
- Keen-tiimi yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-5108)
- kernelsmith yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-4435 ja CVE-2015-4441)
- Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2015-3095)
- Matt Molinyawe HP:n Zero Day Initiative -ohjelmasta (CVE-2015-4445)
- Mauro Gentile Minded Security -yhtiöstä (CVE-2015-5092)
- Nicolas Joly yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109 ja CVE-2015-5110)
- Wei Lei ja Wu Hongjun Nanyang Nanyangin teknisestä yliopistosta (CVE-2014-0566)
- Wu Ha Alibaba Security Research Teamistä (CVE-2015-4443 ja CVE-2015-4444)