Julkaisupäivä: 9. joulukuuta 2014
Haavoittuvuuden tunniste: APSB14-28
Prioriteetti: Katso alla oleva taulukko
CVE-numerot: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Ympäristö: Windows ja Macintosh
Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:
- Adobe Reader XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
- Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
- Adobe Acrobat XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
- Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
- Adobe Reader XI (11.0.09) ja aiemmat 11.x-versiot
- Adobe Reader XI (10.0.12) ja aiemmat 10.x-versiot
- Adobe Acrobat XI (11.0.09) ja aiemmat 11.x-versiot
- Adobe Acrobat XI (10.0.12) ja aiemmat 10.x-versiot
Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:
Adobe Reader
Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.
Adobe Readerin Windows-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Adobe Readerin Macintosh-käyttäjät löytävät päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.
Acrobat Standardin ja Pron Windows-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Acrobat Pron Macintosh-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe luokittelee päivitykset seuraavien prioriteettiluokitusten mukaisiksi ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.
Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:
- Adobe Reader XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
- Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
- Adobe Acrobat XI:n (11.0.09) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.10.
- Adobe Reader X:n (10.1.12) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.13.
Nämä päivitykset ratkaisevat vapautuksen jälkeiseen käyttöön liittyviä haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8454, CVE-2014-8455 ja CVE-2014-9165).
Nämä päivitykset ratkaisevat pinon puskurista johtuvia ylivuotohaavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8457, CVE-2014-2014).
Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2014-8449).
Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Nämä päivitykset ratkaisevat TOCTOU-ajoitusongelmia, joita hyödyntämällä voidaan saada omavaltainen kirjoitusoikeus tiedostojärjestelmään (CVE-2014-9150).
Nämä päivitykset ratkaisevat Javascript-ohjelmointirajapinnan virheellisen toteutuksen, joka voi johtaa tietojen paljastumiseen (CVE-2014-8448, CVE-2014-8451).
Nämä päivitykset ratkaisevat ulkoisten XML-olioiden haavoittuvuuden, joka voi johtaa tietojen paljastumiseen (CVE-2014-8452).
Nämä päivitykset ratkaisevat haavoittuvuuksia, joita voidaan käyttää saman alkuperän käytännön kiertämiseen (CVE-2014-8453).
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Cure53.de:n Alex Inführ (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Payatu Technologiesin Ashfaq Ansar (CVE-2014-8446)
- FireEyen Corbin Souffrant, Armin Buescher ja Dan Caselden (CVE-2014-8454)
- Trend Micron Jack Tangia (CVE-2014-8447)
- James Forshaw, Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Google Project Zero -ohjelman Mateusz Jurczyk ja Googlen tietoturvatiimin Gynvael Coldwind (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Agile Information Securityn Pedro Ribeiro (CVE-2014-8449)
- Wei Lei ja Wu Hongjun Nanyangin teknisestä yliopistosta (CVE-2014-8445 ja CVE-2014-9165)