Adobe Reader 및 Acrobat에 대한 보안 업데이트

릴리스 날짜: 2015년 12월 5일

취약점 식별자: APSB15-10

우선순위: 아래 표 참조

CVE 번호: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

플랫폼: Windows 및 Macintosh

요약

Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다.  제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다. 

  • Adobe Reader XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다. 

  • Adobe Reader X(10.1.13) 및 이전 버전 사용자는 버전 10.1.14로 업데이트해야 합니다. 

  • Adobe Acrobat XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다. 

  • Adobe Acrobat X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.

해당되는 소프트웨어 버전

  • Adobe Reader XI(11.0.10) 및 이전 11.x 버전 

  • Adobe Reader X(10.1.13) 및 이전 10.x 버전  

  • Adobe Acrobat XI(11.0.10) 및 이하 11.x 버전  

  • Adobe Acrobat X(10.1.13) 및 이하 10.x 버전 

참고: Adobe Acrobat Reader DC는 이 게시판의 CVE 참조에 영향을 받지 않습니다.

 

해결 방법

아래 지침에 따라 소프트웨어를 업데이트하는 것이 좋습니다.

Adobe Reader

이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.

Windows를 사용하는 Adobe Reader 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Macintosh를 사용하는 Adobe Reader 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.

Windows를 사용하는 Acrobat Standard 및 Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Macintosh를 사용하는 Acrobat Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

우선 순위 및 심각도 등급

Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품 업데이트 버전 플랫폼 우선 순위 등급
Adobe Reader 11.0.11
Windows 및 Macintosh
1
  10.1.14
Windows 및 Macintosh 1
       
Adobe Acrobat 11.0.11 Windows 및 Macintosh 1
  10.1.14 Windows 및 Macintosh 1

이 업데이트는 해당 소프트웨어에서 위험 수준의 취약점을 해결합니다.

자세한 내용

Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다.따라서 제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다.

  • Adobe Reader XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다.

  • Adobe Reader X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.

  • Adobe Acrobat XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다. 

  • Adobe Acrobat X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.

이 업데이트는 코드를 실행할 수 있는 메모리 해제 후 사용(UAF) 취약점을 해결합니다(CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

이 업데이트는 코드를 실행할 수 있는 힙 기반 버퍼 오버플로우 취약점을 해결합니다(CVE-2014-9160).

이 업데이트는 코드를 실행할 수 있는 버퍼 오버플로우 취약점을 해결합니다(CVE-2015-3048).

이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다(CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

이 업데이트는 메모리 누수를 해결합니다(CVE-2015-3058).  

이 업데이트는 자바스크립트 API 실행에 대한 제한을 우회하는 여러 방법을 해결합니다(CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

이 업데이트는 서비스 거부 조건으로 이어질 수 있는 Null 포인터 역참조 문제를 해결합니다(CVE-2015-3047). 

이 업데이트는 정보를 유출할 수 있는 XML 외부 개체 취급의 취약점(CVE-2014-8452)으로부터 보호하기 위한 추가 강화를 제공합니다.  

감사의 말

Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다. 

  • Alibaba Security Research Team의 instruder(CVE-2015-3070)

  • HP Zero Day Initiative를 담당하는 lokihardt@asrt(CVE-2015-3074) 

  • Google Project Zero의 Mateusz Jurczyk(CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Google Project Zero의 Mateusz Jurczyk 및 Google Security Team의 Gynvael Coldwind(CVE-2014-9160, CVE-2014-9161) 

  • HP Zero Day Initiative의 Simon Zuckerbraun(CVE-2015-3060, CVE-2015-3062) 

  • Nanyang Technological University의 Wei Lei, Wu Hongjun 및 Wang Jing(CVE-2015-3047) 

  • Nanyang Technological University의 Wei Lei 및 Wu Hongjun(CVE-2015-3046) 

  • Intel Labs의 Xiaoning Li 및 McAfee Labs IPS Team의 Haifei Li(CVE-2015-3048)