Adobe Reader 和 Acrobat 的安全性更新已推出

發佈日期:2015 年 12 月 5 日

弱點識別碼: APSB15-10

優先順序: 請參閱下表

CVE 編號:CVE-2014-8452、CVE-2014-9160、CVE-2014-9161、CVE-2015-3046、CVE-2015-3047、CVE-2015-3048、CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052、CVE-2015-3053、CVE-2015-3054、CVE-2015-3055、CVE-2015-3056、CVE-2015-3057、CVE-2015-3058、CVE-2015-3059、CVE-2015-3060、CVE-2015-3061、CVE-2015-3062、CVE-2015-3063、CVE-2015-3064、CVE-2015-3065、CVE-2015-3066、CVE-2015-3067、CVE-2015-3068、CVE-2015-3069、CVE-2015-3070、CVE-2015-3071、CVE-2015-3072、CVE-2015-3073、CVE-2015-3074、CVE-2015-3075、CVE-2015-3076

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Reader 和 Acrobat 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的弱點。  Adobe 建議使用者將其產品安裝更新至最新版本: 

  • Adobe Reader XI (11.0.10) 及更早版本的使用者應更新為 11.0.11 版。 

  • Adobe Reader X (10.1.13) 及更早版本的使用者應更新為 10.1.14 版。 

  • Adobe Acrobat XI (11.0.10) 及更早版本的使用者應更新為 11.0.11 版。 

  • Adobe Acrobat X (10.1.13) 及更早版本的使用者應更新為 10.1.14 版。

受影響的軟體版本

  • Adobe Reader XI (11.0.10) 和 11.x 舊版軟體 

  • Adobe Reader X (10.1.13) 和 10.x 舊版軟體  

  • Adobe Acrobat XI (11.0.10) 和 11.x 舊版軟體  

  • Adobe Acrobat X (10.1.13) 和 10.x 舊版軟體

注意:Adobe Acrobat Reader DC 在此公告中不受 CVE 參照影響。

 

解決方法

Adobe 建議使用者依照下列說明更新其軟體安裝:

Adobe Reader

產品的預設更新機制已設為定期排程自動檢查更新。您可藉由選擇「說明 > 檢查更新」以手動啟動更新檢查。

Windows 版 Adobe Reader 使用者可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=10&platform=Windows

Macintosh 版 Adobe Reader 使用者可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

產品的預設更新機制已設為定期排程自動檢查更新。您可藉由選擇「說明 > 檢查更新」以手動啟動更新檢查。

Windows 版 Acrobat Standard 和 Pro 使用者可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=1&platform=Windows

Macintosh 版 Acrobat Pro 使用者可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=1&platform=Macintosh

優先順序與嚴重性分級

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 已更新的版本 平台 優先順序分級
Adobe Reader 11.0.11
Windows 與 Macintosh
1
  10.1.14
Windows 與 Macintosh 1
       
Adobe Acrobat 11.0.11 Windows 與 Macintosh 1
  10.1.14 Windows 與 Macintosh 1

這些更新將解決軟體中的重大弱點。

詳細資訊

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Reader 和 Acrobat 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的弱點。Adobe 建議使用者將其產品安裝更新至最新版本:

  • Adobe Reader XI (11.0.10) 及更早版本的使用者應更新為 11.0.11 版。

  • Adobe Reader X (10.1.13) 及更早版本的使用者應更新為 10.1.14 版。

  • Adobe Acrobat XI (11.0.10) 及更早版本的使用者應更新為 11.0.11 版。 

  • Adobe Acrobat X (10.1.13) 及更早版本的使用者應更新為 10.1.14 版。

這些更新能解決可能導致程式碼執行的釋放後繼續使用弱點 (CVE-2015-3053、CVE-2015-3054、CVE-2015-3055、CVE-2015-3059、CVE-2015-3075)。

這些更新能解決可能導致程式碼執行的堆積型緩衝區溢位弱點 (CVE-2014-9160)。

這些更新程式能解決可能導致程式碼執行的緩衝區溢位弱點 (CVE-2015-3048)。

這些更新能解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2014-9161、CVE-2015-3046、CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052、CVE-2015-3056、CVE-2015-3057、CVE-2015-3070、CVE-2015-3076)。 

這些更新能解決記憶體外洩問題 (CVE-2015-3058)。 

這些更新能解決 Javascript API 執行時各種略過限制的方法 (CVE-2015-3060、CVE-2015-3061、CVE-2015-3062、CVE-2015-3063、CVE-2015-3064、CVE-2015-3065、CVE-2015-3066、CVE-2015-3067、CVE-2015-3068、CVE-2015-3069、CVE-2015-3071、CVE-2015-3072、CVE-2015-3073、CVE-2015-3074)。

這些更新能解決可能導致拒絕服務狀況的 Null 指標取消參照問題 (CVE-2015-3047)。 

這些更新能提供額外的強化措施以針對 CVE-2014-8452 (一種在處理 XML 外部實體時可能會導致資訊外洩的漏洞) 提供防護。 

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶: 

  • HP 零時差計畫的 AbdulAziz Hariri (CVE-2015-3053、CVE-2015-3055、CVE-2015-3057、CVE-2015-3058、CVE-2015-3065、CVE-2015-3066、CVE-2015-3067、CVE-2015-3068、CVE-2015-3071、CVE-2015-3072、CVE-2015-3073)

  • Cure53.de 的 Alex Inführ (CVE-2014-8452、CVE-2015-3076)

  • 透過 Beyond Security 的 SecuriTeam 安全揭露匿名舉報 (CVE-2015-3075)

  • HP 零時差計畫合作的 bilou (CVE-2015-3059)

  • HP 零時差計畫的 Brian Gorenc (CVE-2015-3054、CVE-2015-3056、CVE-2015-3061、CVE-2015-3063、CVE-2015-3064)

  • HP 零時差計畫的 Dave Weinstein (CVE-2015-3069)

  • 阿里巴巴安全研究團隊的入侵者 (CVE-2015-3070) 

  • HP 零時差計畫合作的 lokihardt@asrt (CVE-2015-3074)

  • Google Project Zero 的 Mateusz Jurczyk·(CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052)

  • Google Project Zero 的·Mateusz Jurczyk 與 Google 安全性團隊的 Gynvael Coldwind (CVE-2014-9160、CVE-2014-9161)

  • HP 零時差計畫合作的 Simon Zuckerbraun (CVE-2015-3060、CVE-2015-3062)

  • Nanyang Technological University 的 Wei Lei、Wu Hongjun 與 Wang Jing (CVE-2015-3047) 

  • Nanyang Technological University 的 Wei Lei 與 Wu Hongjun (CVE-2015-3046) 

  • Intel Labs 的 Xiaoning Li 和 McAfee Labs IPS 團隊的 Haifei Li (CVE-2015-3048)