Julkaisupäivä: 12. toukokuuta 2015
Haavoittuvuuden tunniste: APSB15-10
Prioriteetti: Katso alla oleva taulukko
CVE-numerot: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Ympäristö: Windows ja Macintosh
Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:
Adobe Reader XI:n (11.0.10) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.11.
Adobe Reader X:n (10.1.13) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.14.
Adobe Acrobat XI:n (11.0.10) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.11.
Adobe Reader X:n (10.1.13) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.14.
Adobe Reader XI (11.0.10) ja aiemmat 11.x-versiot
Adobe Reader XI (10.0.13) ja aiemmat 10.x-versiot
Adobe Acrobat XI (11.0.10) ja aiemmat 11.x-versiot
- Adobe Acrobat X (10.1.13) ja aiemmat 10.x-versiot
Huomautus: tässä tiedotteessa mainitut CVE:t eivät vaikuta Adobe Acrobat Reader DC:hen.
Adobe kehottaa käyttäjiä päivittämään ohjelmistonsa seuraavien ohjeiden mukaan:
Adobe Reader
Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.
Adobe Readerin Windows-käyttäjät löytävät asiaankuuluvan päivityksen myös täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Adobe Readerin Macintosh-käyttäjät löytävät asiaankuuluvan päivityksen myös täältä: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Tuotteen päivitysmekanismi on oletusarvoisesti määritetty hakemaan päivityksiä automaattisesti säännöllisin väliajoin. Päivitysten haun voi aktivoida manuaalisesti valitsemalla Ohje > Tarkista päivitykset.
Acrobat Standardin ja Pron Windows-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Acrobat Pron Macintosh-käyttäjät löytävät asiaankuuluvan päivityksen täältä: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe luokittelee päivitykset seuraavien prioriteettiluokitusten mukaisiksi ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Nämä päivitykset ratkaisevat ohjelmiston kriittisiä haavoittuvuuksia.
Adobe on julkaissut tietoturvapäivitykset Adobe Reader- ja Acrobat -ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset korjaavat haavoittuvuuksia, jotka voivat aiheuttaa sen, että hyökkääjät voivat mahdollisesti ottaa altistuneen järjestelmän hallintaansa. Adobe suosittelee, että käyttäjät päivittävät tuotteensa uusimpiin versioihin:
Adobe Reader XI:n (11.0.10) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.11.
Adobe Reader X:n (10.1.13) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.14.
Adobe Acrobat XI:n (11.0.10) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 11.0.11.
Adobe Reader X:n (10.1.13) ja aiempien versioiden käyttäjien tulee päivittää ohjelma versioon 10.1.14.
Nämä päivitykset ratkaisevat vapauksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
Nämä päivitykset ratkaisevat pinon puskurin ylivuotohaavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (, CVE-2014-9160).
Nämä päivitykset ratkaisevat puskurin ylivuotohaavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2015-3048).
Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076).
Nämä päivitykset ratkaisevat muistin vuoto-ongelman (CVE-2015-3058).
Nämä päivitykset ratkaisevat erilaisia haavoittuvuuksia, jotka voivat johtaa Javascript API -suorituksen rajoitusten ohittamiseen (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
Nämä päivitykset ratkaisevat null-osoittimen arvon hakuongelman, joka voi johtaa palvelunestohyökkäykseen (CVE-2015-3047).
Nämä päivitykset parantavat suojausta haavoittuvuutta CVE-2014-8452 (ulkoisten XML-elementtien käsittelyn haavoittuvuus, joka voi johtaa tietojen paljastumiseen) vastaan.
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
AbdulAziz Hariri HP:n Zero Day Initiative -ohjelmasta (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072 ja CVE-2015-3073)
Alex Inführ Cure53.destä (CVE-2014-8452 ja CVE-2015-3076)
Nimetön ilmoittaja Beyond Securityn SecuriTeam Secure Disclosure -ohjelman kautta (CVE-2015-3075)
bilou yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3059)
Brian Gorenc HP:n Zero Day Initiative -ohjelmasta (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063 ja CVE-2015-3064)
Dave Weinstein HP:n Zero Day Initiative -ohjelmasta (CVE-2015-3069)
instruder Alibaba Security Research -tiimistä (CVE-2015-3070)
lokihardt@asrt yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3074)
Mateusz Jurczyk Google Project Zero -ohjelmasta (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051 ja CVE-2015-3052)
Mateusz Jurczyk Google Project Zero -ohjelmasta ja Gynvael Coldwind Google Security Teamista (CVE-2014-9160 ja CVE-2014-9161)
Simon Zuckerbraun yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-3060 ja CVE-2015-3062)
Wei Lei sekä Wu Hongjun ja Wang Jing Nanyangin teknisestä yliopistosta (CVE-2015-3047)
Wei Lei sekä Wu Hongjun Nanyangin teknisestä yliopistosta (CVE-2015-3046)
Xiaoning Li Intel Labsista ja Haifei Li McAfee Labs IPS Teamistä (CVE-2015-3048)