Aggiornamenti di sicurezza disponibili per Adobe Digital Editions | APSB17-27
ID bollettino Data di pubblicazione Priorità
APSB17-27 08 agosto 2017 2

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Digital Editions per Windows, Macintosh, iOS e Android.Questo aggiornamento risolve una vulnerabilità critica di sovraccarico del buffer basato su heap che potrebbe causare l'esecuzione di codice, sette vulnerabilità importanti di corruzione della memoria che potrebbero provocare la divulgazione degli indirizzi di memoria e una vulnerabilità critica di elaborazione dell'entità esterna XML che potrebbe provocare la divulgazione di informazioni.

Versioni del prodotto interessate

Prodotto Versione Piattaforma
Adobe Digital Editions 4.5.5 e versioni precedenti Windows, Macintosh, iOS e Android

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Versione Piattaforma Priorità Disponibilità
Adobe Digital Editions 4.5.6 Windows 2 Pagina di download
Macintosh 2 Pagina di download
iOS 2 iTunes
Android 2 Playstore

Nota:

  • I clienti che utilizzano Adobe Digital Editions 4.5.5 possono scaricare l'aggiornamento dalla pagina di download di Adobe Digital Editions, oppure utilizzare il meccanismo di aggiornamento del prodotto, quando richiesto.
  • Per ulteriori informazioni, consultate le relative note di rilascio.

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codici CVE
Sovraccarico del buffer Esecuzione di codice remoto Critico CVE-2017-11274
Corruzione della memoria Divulgazione dell'indirizzo di memoria Importante CVE-2017-3091, CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280
Analisi dell'entità esterna XML Divulgazione di informazioni Critico CVE-2017-11272

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Steven Seeley di Source Incite (CVE-2017-11272)
  • Steven Seeley di Source Incite, in collaborazione la Zero Day Initiative di Trend Micro (CVE-2017-3091, CVE-2017-11274)
  • Jaanus Kääp di Clarified Security (CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279)
  • Riusksk del Security Platform Department di Tencent (CVE-2017-11280)