Adoben tietoturvatiedote

Adobe Readerin ja Acrobatin tietoturvapäivitykset

Julkaisupäivä: 9. joulukuuta 2014

Haavoittuvuuden tunniste: APSB14-28

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Reader XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
  • Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
  • Adobe Acrobat XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
  • Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.

Ohjelmistoversiot, joita haavoittuvuus koskee

  • Adobe Reader XI (11.0.09) ja aiemmat 11.x-versiot
  • Adobe Reader XI (10.0.12) ja aiemmat 10.x-versiot
  • Adobe Acrobat XI (11.0.09) ja aiemmat 11.x-versiot
  • Adobe Acrobat XI (10.0.12) ja aiemmat 10.x-versiot

Ratkaisu

Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:

Adobe Reader

Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.

Adobe Readerin Windows-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Readerin Macintosh-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.

Acrobat Standardin ja Pron Windows-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pron Macintosh-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Prioriteetti- ja vakavuusluokitukset

Adobe luokittelee päivitykset seuraavien prioriteettiluokitusten mukaisiksi ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus
Adobe Reader 11.0.10
Windows ja Macintosh
1
  10.1.13
Windows ja Macintosh 1
       
Adobe Acrobat 11.0.10
Windows ja Macintosh
1
  10.1.13
Windows ja Macintosh
1

Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.

Tiedot

Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa.  Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:

  • Adobe Reader XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
  • Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
  • Adobe Acrobat XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
  • Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.

Nämä päivitykset ratkaisevat vapautuksen jälkeiseen käyttöön liittyviä haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8454, CVE-2014-8455 ja CVE-2014-9165).

Nämä päivitykset ratkaisevat pinon puskurista johtuvia ylivuotohaavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8457, CVE-2014-2014).

Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2014-8449).

Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Nämä päivitykset ratkaisevat TOCTOU-ajoitusongelmia, joita hyödyntämällä voidaan saada omavaltainen kirjoitusoikeus tiedostojärjestelmään (CVE-2014-9150).

Nämä päivitykset ratkaisevat Javascript-ohjelmointirajapinnan virheellisen toteutuksen, joka voi johtaa tietojen paljastumiseen (CVE-2014-8448, CVE-2014-8451).

Nämä päivitykset ratkaisevat ulkoisten XML-olioiden haavoittuvuuden, joka voi johtaa tietojen paljastumiseen (CVE-2014-8452).

Nämä päivitykset ratkaisevat haavoittuvuuksia, joita voidaan käyttää saman alkuperän käytännön kiertämiseen (CVE-2014-8453).  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Cure53.de:n Alex Inführ (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Payatu Technologiesin Ashfaq Ansar (CVE-2014-8446)
  • FireEyen Corbin Souffrant, Armin Buescher ja Dan Caselden (CVE-2014-8454)
  • Trend Micron Jack Tangia (CVE-2014-8447)
  • James Forshaw, Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Google Project Zero -ohjelman Mateusz Jurczyk ja Googlen tietoturvatiimin Gynvael Coldwind (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Agile Information Securityn Pedro Ribeiro (CVE-2014-8449)
  • Wei Lei ja Wu Hongjun Nanyangin teknisestä yliopistosta (CVE-2014-8445 ja CVE-2014-9165)