Adobe 安全性公告

Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期:2015 年 14 月 7 日

弱點識別碼: APSB15-15

優先順序: 請參閱下表

CVE 編號: CVE-2014-0566、CVE-2014-8450、CVE-2015-3095、CVE-2015-4435、CVE-2015-4438、CVE-2015-4441、CVE-2015-4443、CVE-2015-4444、CVE-2015-4445、CVE-2015-4446、CVE-2015-4447、CVE-2015-4448、CVE-2015-4449、CVE-2015-4450、CVE-2015-4451、CVE-2015-4452、CVE-2015-5085、CVE-2015-5086、CVE-2015-5087、CVE-2015-5088、CVE-2015-5089、CVE-2015-5090、CVE-2015-5091、CVE-2015-5092、CVE-2015-5093、CVE-2015-5094、CVE-2015-5095、CVE-2015-5096、CVE-2015-5097、CVE-2015-5098、CVE-2015-5099、CVE-2015-5100、CVE-2015-5101、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-5105、CVE-2015-5106、CVE-2015-5107、CVE-2015-5108、CVE-2015-5109、CVE-2015-5110、CVE-2015-5111、CVE-2015-5113、CVE-2015-5114、CVE-2015-5115

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。   

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 2015.007.20033
Windows 與 Macintosh
Acrobat Reader DC 連續 2015.007.20033
Windows 與 Macintosh
       
Acrobat DC 傳統 2015.006.30033
Windows 與 Macintosh
Acrobat Reader DC 傳統 2015.006.30033
Windows 與 Macintosh
       
Acrobat XI 11.0.11 及舊版 Windows 與 Macintosh
Acrobat X 10.1.14 及舊版 Windows 與 Macintosh
       
Reader XI 11.0.11 及舊版 Windows 與 Macintosh
Reader X 10.1.14 及舊版 Windows 與 Macintosh

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面。如有 Acrobat Reader DC 的相關問題,請前往 Acrobat Reader DC 常見問答集頁面

解決方法

Adobe 建議使用者透過下列任一方式將軟體安裝更新至最新版本:  

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。 
  • 偵測到更新時,產品會自動更新,使用者無須操作。 
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。  

若您是 IT 管理員 (受管理的環境):  

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。 
產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 2015.008.20082
Windows 與 Macintosh
2

Windows

Macintosh

Acrobat Reader DC 連續 2015.008.20082
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 2015.006.30060
Windows 與 Macintosh 2

Windows

Macintosh

Acrobat Reader DC 傳統 2015.006.30060
Windows 與 Macintosh 2

Windows

Macintosh

           
Acrobat XI 11.0.12 Windows 與 Macintosh 2

Windows

Macintosh

Acrobat X 10.1.15 Windows 與 Macintosh 2

Windows

Macintosh

           
Reader XI 11.0.12 Windows 與 Macintosh 2

Windows

Macintosh

Reader X 10.1.15 Windows 與 Macintosh 2

Windows

Macintosh

弱點詳細資料

  • 這些更新可解決可能導致程式碼執行的緩衝區溢位弱點 (CVE-2015-5093)。 
  • 這些更新將解決可能導致程式碼執行的堆積緩衝區溢位弱點 CVE-2015-5096、CVE-2015-5098、CVE-2015-5105)。 
  • 這些更新能解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2015-5087、CVE-2015-5094、CVE-2015-5100、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-3095、CVE-2015-5115、CVE-2014-0566)。 
  • 這些更新可解決資訊洩露弱點 (CVE-2015-5107)。 
  • 這些更新可解決可能導致資訊揭露的略過安全性弱點 (CVE-2015-4449、CVE-2015-4450、CVE-2015-5088、CVE-2015-5089、CVE-2015-5092、CVE-2014-8450)。 
  • 這些更新可解決可能導致程式碼執行的堆疊溢位弱點 (CVE-2015-5110)。 
  • 這些更新可解決可能導致程式碼執行的釋放後繼續使用弱點 (CVE-2015-4448、CVE-2015-5095、CVE-2015-5099、CVE-2015-5101、CVE-2015-5111、CVE-2015-5113、CVE-2015-5114)。 
  • 這些更新可解決可能遭利用來執行權限升級 (從低到中整合層級) 的略過驗證問題 (CVE-2015-4446、CVE-2015-5090、CVE-2015-5106)。 
  • 這些更新可解決可能遭利用來在受影響的系統上造成阻斷服務狀況的略過驗證問題 (CVE-2015-5091)。 
  • 這些更新將解決可能導致程式碼執行的整數溢位弱點 (CVE-2015-5097、CVE-2015-5108、CVE-2015-5109)。 
  • 這些更新能解決 Javascript API 執行時各種略過限制的方法 (CVE-2015-4435、CVE-2015-4438、CVE-2015-4441、CVE-2015-4445、CVE-2015-4447、CVE-2015-4451、CVE-2015-4452、CVE-2015-5085、CVE-2015-5086)。 
  • 這些更新將解決可能導致阻斷服務狀況的 Null 指標取值問題 (CVE-2015-4443、CVE-2015-4444)。 

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶: 

  • HP Zero Day Initiative (HP 零時差活動) 的 AbdulAziz Hariri 及 Jasiel Spelman (CVE-2015-5085、CVE-2015-5086、CVE-2015-5090、CVE-2015-5091) 
  • HP Zero Day Initiative (HP 零時差活動)的 AbdulAziz Hariri (CVE-2015-4438、CVE-2015-4447、CVE-2015-4452、CVE-2015-5093、CVE-2015-5094、CVE-2015-5095、CVE-2015-5101、CVE-2015-5102、CVE-2015-5103、CVE-2015-5104、CVE-2015-5113、CVE-2015-5114、CVE-2015-5115) 
  • Cure53.de 的 Alex Inführ (CVE-2015-4449、CVE-2015-4450、CVE-2015-5088、CVE-2015-5089、CVE-2014-8450)  
  • 與 VeriSign iDefense Labs 合作的 bilou (CVE-2015-4448、CVE-2015-5099)
  • HP Zero Day Initiative (HP 零時差活動) 的 Brian Gorenc (CVE-2015-5100、CVE-2015-5111) 
  • MWR Labs (@mwrlabs) 的安全性研究團隊 (CVE-2015-4451) 
  • Google Project Zero 的 James Forshaw (CVE-2015-4446) 
  • KeenTeam 的 Jihui Lu (CVE-2015-5087) 
  • Alibaba Security Research Team 的 JinCheng Liu (CVE-2015-5096、CVE-2015-5097、CVE-2015-5098、CVE-2015-5105) 
  • 與 HP Zero Day Initiative (零時差活動) 合作的 Keen Team (CVE-2015-5108) 
  • 與 HP Zero Day Initiative (零時差活動) 合作的 kernelsmith (CVE-2015-4435、CVE-2015-4441) 
  • Google Project Zero 的 Mateusz Jurczyk (CVE-2015-3095) 
  • HP Zero Day Initiative (HP 零時差活動) 的 Matt Molinyawe (CVE-2015-4445) 
  • Minded Security 的 Mauro Gentile (CVE-2015-5092) 
  • 與 HP Zero Day Initiative (零時差活動) 合作的 Nicolas Joly (CVE-2015-5106、CVE-2015-5107、CVE-2015-5109、CVE-2015-5110) 
  • 南洋理工大學的 Wei Lei 和 Wu Hongjun (-0566-、CVE-2014) 
  • Alibaba Security Research Team 的 Wu Ha (CVE-2015-4443、CVE-2015-4444)