Adobe Readerin ja Acrobatin tietoturvapäivitykset

Julkaisupäivä: 16. syyskuuta 2014

Haavoittuvuuden tunniste: APSB14-20

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Reader XI:n (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.09.
  • Adobe Reader X:n (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää versioon 11.0.09, Adobe tarjoaa käyttöön version 10.1.12.
  • Adobe Acrobat XI:n (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.09.
  • Adobe Acrobat X:n (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää versioon 11.0.09, Adobe tarjoaa käyttöön version 10.1.12.

Ohjelmistoversiot, joita haavoittuvuus koskee

  • Adobe Reader XI (11.0.08) ja aiemmat 11.x-loppuiset Windows-versiot
  • Adobe Reader XI (11.0.07) ja aiemmat 11.x-loppuiset Macintosh-versiot
  • Adobe Reader X (10.1.11) ja aiemmat 10.x-loppuiset Windows-versiot
  • Adobe Reader X (10.1.10) ja aikaisemmat 10.x-loppuiset Macintosh-versiot
  • Adobe Acrobat XI (11.0.08) ja aiemmat 11.x-loppuiset Windows-versiot
  • Adobe Acrobat XI (11.0.07) ja aiemmat 11.x-loppuiset Macintosh-versiot
  • Adobe Acrobat X (10.1.11) ja aiemmat 10.x-loppuiset Windows-versiot
  • Adobe Acrobat X (10.1.10) ja aikaisemmat 10.x-loppuiset Macintosh-versiot

Ratkaisu

Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:

Adobe Reader

Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.

Adobe Readerin Windows-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Readerin Macintosh-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.

Acrobat Standardin ja Pron Windows-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pron Macintosh-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Prioriteetti- ja vakavuusluokitukset

Adobe luokittelee päivitykset seuraavien prioriteettiluokitusten mukaisiksi ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus
Adobe Reader XI 11.0.09
Windows ja Macintosh
1
Adobe Reader X 10.1.12
Windows ja Macintosh 1
Adobe Acrobat XI 11.0.09
Windows ja Macintosh
1
Adobe Acrobat X
10.1.12
Windows ja Macintosh
1

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.

Tiedot

Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Reader XI:n (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.09.
  • Adobe Reader X:n (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää versioon 11.0.09, Adobe tarjoaa käyttöön version 10.1.12.
  • Adobe Acrobat XI:n (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.09.
  • Adobe Acrobat X:n (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää versioon 11.0.09, Adobe tarjoaa käyttöön version 10.1.12.

Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2014-0560).

Nämä päivitykset ratkaisevat yleisen sivustojen välisiin komentosarjoihin (UXSS) liittyvän Readerin ja Acrobatin haavoittuvuuden Macintosh-ympäristössä (CVE-2014-0562).

Nämä päivitykset ratkaisevat mahdollisen palvelunestohaavoittuvuuden (DoS), joka liittyy muistin vioittumiseen (CVE-2014-0563).

Nämä päivitykset ratkaisevat pinon ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2014-0561, CVE-2014-0567).

Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-0565, CVE-2014-0566).

Nämä päivitykset ratkaisevat hiekkalaatikkosuojauksen ohitushaavoittuvuuden, jota hyödyntämällä Windowissa voidaan suorittaa koodia korotetuilla käyttöoikeuksilla (CVE-2014-0568).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Wei Lei ja Wu Hongjun Nanyangin teknisestä yliopistosta yhdessä Verisign iDefense Labsin kanssa (CVE-2014-0560)
  • Tom Ferris yhdessä HP:n Zero Day Initiativen kanssa (CVE-2014-0561)
  • Frans Rosen, Detectify (CVE-2014-0562)
  • Wei Lei ja Wu Hongjun Nanyang Technological Universitystä (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Nimetön ilmoittaja HP:n Zero Day Initiativen kautta (CVE-2014-0567)
  • James Forshaw, Google Project Zero (CVE-2014-0568)