Adobe Reader 및 Acrobat에 대한 보안 업데이트

릴리스 날짜: 2014년 12월 9일

취약점 식별자: APSB14-28

우선순위: 아래 표 참조

CVE 번호: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

플랫폼: Windows 및 Macintosh

요약

Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다.따라서 제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다.

  • Adobe Reader XI(11.0.09) 이하 버전 사용자는 버전 11.0.10로 업데이트해야 합니다.
  • Adobe Reader X(10.1.12) 이하 버전 사용자는 버전 10.1.13으로 업데이트해야 합니다.
  • Adobe Acrobat XI(11.0.09) 이하 버전 사용자는 버전 11.0.10로 업데이트해야 합니다.
  • Adobe Acrobat X(10.1.12) 이하 버전 사용자는 버전 10.1.13으로 업데이트해야 합니다.

해당되는 소프트웨어 버전

  • Adobe Reader XI(11.0.09) 및 이하 11.x 버전
  • Adobe Reader X(10.1.12) 및 이하 10.x 버전
  • Adobe Acrobat XI(11.0.09) 및 이하 11.x 버전
  • Adobe Acrobat X(10.1.12) 및 이하 10.x 버전 

해결 방법

아래 지침에 따라 소프트웨어를 업데이트하는 것이 좋습니다.

Adobe Reader

이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.

Windows 기반의 Adobe Reader 사용자는 http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows에서 해당 업데이트를 찾을 수 있습니다

Macintosh 기반의 Adobe Reader 사용자는 http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh에서 해당 업데이트를 찾을 수 있습니다

 

Adobe Acrobat

이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.

Windows를 사용하는 Acrobat Standard 및 Acrobat Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Macintosh를 사용하는 Acrobat Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

우선 순위 및 심각도 등급

Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품 업데이트 버전 플랫폼 우선 순위 등급
Adobe Reader 11.0.10
Windows 및 Macintosh
1
  10.1.13
Windows 및 Macintosh 1
       
Adobe Acrobat 11.0.10
Windows 및 Macintosh
1
  10.1.13
Windows 및 Macintosh
1

이 업데이트는 해당 소프트웨어에서 위험 수준의 취약점을 해결합니다.

자세한 내용

Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다.따라서 제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다.

  • Adobe Reader XI(11.0.09) 이하 버전 사용자는 버전 11.0.10로 업데이트해야 합니다.
  • Adobe Reader X(10.1.12) 이하 버전 사용자는 버전 10.1.13으로 업데이트해야 합니다.
  • Adobe Acrobat XI(11.0.09) 이하 버전 사용자는 버전 11.0.10로 업데이트해야 합니다.
  • Adobe Acrobat X(10.1.12) 이하 버전 사용자는 버전 10.1.13으로 업데이트해야 합니다.

이 업데이트는 코드를 실행할 수 있는 메모리 해제 후 사용(UAF) 취약점을 해결합니다(CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

이 업데이트는 코드를 실행할 수 있는 힙 기반 버퍼 오버플로우 취약점을 해결합니다(CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

이 업데이트는 코드를 실행할 수 있는 정수 오버플로우 취약점을 해결합니다(CVE-2014-8449).

이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다(CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

이 업데이트는 임의 쓰기로 파일 시스템에 액세스하도록 사용할 수 있는 TOCTOU(time-of-check time-of-use) 레이스 컨디션을 해결합니다(CVE-2014-9150).

정보 노출을 발생시킬 수 있는 Javascript API의 부적절한 구현을 해결합니다(CVE-2014-8448, CVE-2014-8451).

이 업데이트는 정보 노출을 발생시킬 수 있는 XML 외부 개체의 취급 취약점을 해결합니다(CVE-2014-8452).

이 업데이트는 동일출처정책을 회피하는 데 사용될 수 있는 취약점을 해결합니다(CVE-2014-8453).  

감사의 말

Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.

  • Cure53.de의 Alex Inführ(CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Payatu Technologies의 Ashfaq Ansari(CVE-2014-8446)
  • FireEye의 Corbin Souffrant, Armin Buescher와 Dan Caselden(CVE-2014-8454)
  • Trend Micro의 Jack Tang(CVE-2014-8447)
  • Google Project Zero의 James Forshaw(CVE-2014-9150
  • lokihardt@asrt (CVE-2014-8448)
  • Google Project Zero의 Mateusz Jurczyk와 Google Security Team의 Gynvael Coldwind(CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Agile Information Security의 Pedro Ribeiro(CVE-2014-8449)
  • 난양 기술대학의 Wei Lei와 Wu Hongjun(CVE-2014-8445, CVE-2014-9165)