Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 13. lokakuuta 2015

Viimeksi päivitetty: 11. joulukuuta 2015

Haavoittuvuuden tunniste: APSB15-24

Prioriteetti: Katso alla oleva taulukko

CVE-numerot: CVE-2015-5583, CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6685, CVE-2015-6686, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-6691, CVE-2015-6692, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6696, CVE-2015-6697, CVE-2015-6698, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6705, CVE-2015-6706, CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7614, CVE-2015-7615, CVE-2015-7616, CVE-2015-7617, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7621, CVE-2015-7622, CVE-2015-7623, CVE-2015-7624, CVE-2015-7650, CVE-2015-8458

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 2015.008.20082 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 2015.008.20082 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 2015.006.30060 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 2015.006.30060 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.12 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.12 ja aiemmat versiot Windows ja Macintosh
       
Acrobat X Työpöytä 10.1.15 ja aiemmat versiot Windows ja Macintosh
Reader X Työpöytä 10.1.15 ja aiemmat versiot Windows ja Macintosh

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu. 
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt): 

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2015.009.20069
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Jatkuva 2015.009.20069
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 2015.006.30094
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Perinteinen 2015.006.30094
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.13 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.13 Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat X Työpöytä 10.1.16 Windows ja Macintosh 2 Windows
Macintosh
Reader X Työpöytä 10.1.16 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat puskurin ylivuotohaavoittuvuuden, joka voi johtaa tietovuotoon (CVE-2015-6692).
  • Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelmia, jotka voivat johtaa koodin suoritukseen (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683).
  • Nämä päivitykset ratkaisevat kekopuskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-6696, CVE-2015-6698 ja CVE-2015-8458).
  • Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6686, CVE-2015-7622 ja CVE-2015-7650).
  • Nämä päivitykset ratkaisevat muistin vuotohaavoittuvuuksia (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697).
  • Nämä päivitykset ratkaisevat suojauksen ohitushaavoittuvuuksia, jotka voivat johtaa tietovuotoon (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624).
  • Nämä päivitykset ratkaisevat erilaisia keinoja ohittaa Javascript API:n suoritusrajoituksia (CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7623, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • AbdulAziz Hariri HP Zero Day Initiative -ohjelmasta (CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6697, CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695 ja CVE-2015-6707)
  • AbdulAziz Hariri ja Jasiel Spelman HP Zero Day Initiative -ohjelmasta (CVE-2015-5583, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703 ja CVE-2015-6704)
  • Alex Inführ Cure53.de:stä (CVE-2015-6705 ja CVE-2015-6706)
  • Bill Finlayson Vectra Networksista (CVE-2015-6687)
  • bilou yhdessä VeriSign iDefense Labsin kanssa (CVE-2015-6684)
  • Brian Gorenc HP:n Zero Day Initiative -ohjelmasta (CVE-2015-6686)
  • Francis Provencher COSIG:sta (CVE-2015-7622)
  • Jaanus Kp Clarified Securitystä yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-6696 ja CVE-2015-6698)
  • Jack Tang TrendMicrosta (CVE-2015-6692)
  • James Loureiro MWR Labsista (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • kdot yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-7621 ja CVE-2015-7650)
  • Matt Molinyawe ja Jasiel Spelman HP:n Zero Day Initiative -ohjelmasta (CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619 ja CVE-2015-7620)
  • Matt Molinyawe HP:n Zero Day Initiative -ohjelmasta (CVE-2015-7623)
  • WanderingGlitch HP:n Zero Day Initiative -ohjelmasta (CVE-2015-6713, CVE-2015-6714, CVE-2015-6715)
  • Wei Lei ja Wu Hongjun Nanyangin teknisestä yliopistosta (-2015- ja CVE-5586)
  • Wei Lei sekä Wu Hongjun Nanyang Technological Universitystä yhdessä Verisign iDefense Labsin kanssa (CVE-2015-6683)
  • AbdulAziz Hariri ja Jasiel Spelman HP:n Zero Day Initiative -ohjelmasta osallistumisesta syvyyssuuntaisen suojauksen kehittämiseen
  • Fritz Sands yhdessä HP:n Zero Day Initiative -ohjelman kanssa (CVE-2015-8458)

Versiot

14. lokakuuta 2015: Korjattu virheelliset CVE-tiedot ja ilmoitukset

29.10.2015: Lisätty viittaus haavoittuvuuteen CVE-2015-7829, joka ilmoitettiin Acrobatin ja Readerin haavoittuvuutena, mutta ratkaistiin Windowsin tietoturvakorjauksessa MS15-090.  Lisätty lisäksi viittaus haavoittuvuuteen CVE-2015-7650, joka korjattiin 13.10. julkaistussa Acrobat- ja Reader-päivityksessä, mutta jätettiin vahingossa pois tiedotteista. 

11.12.2015: Lisätty lisäksi viittaus haavoittuvuuteen CVE-2015-8458, joka korjattiin 13.10. julkaistussa Acrobat- ja Reader-päivityksessä, mutta jätettiin vahingossa pois tiedotteista.