Adobe Reader 및 Acrobat에 대한 보안 업데이트
릴리스 날짜: 2015년 12월 5일
취약점 식별자: APSB15-10
우선순위: 아래 표 참조
CVE 번호: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
플랫폼: Windows 및 Macintosh
요약
Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다. 제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다.
Adobe Reader XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다.
Adobe Reader X(10.1.13) 및 이전 버전 사용자는 버전 10.1.14로 업데이트해야 합니다.
Adobe Acrobat XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다.
Adobe Acrobat X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.
해당되는 소프트웨어 버전
Adobe Reader XI(11.0.10) 및 이전 11.x 버전
Adobe Reader X(10.1.13) 및 이전 10.x 버전
Adobe Acrobat XI(11.0.10) 및 이하 11.x 버전
- Adobe Acrobat X(10.1.13) 및 이하 10.x 버전
참고: Adobe Acrobat Reader는 이 게시판의 CVE 참조에 영향을 받지 않습니다.
해결 방법
아래 지침에 따라 소프트웨어를 업데이트하는 것이 좋습니다.
Adobe Reader
이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.
Windows를 사용하는 Adobe Reader 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows
Macintosh를 사용하는 Adobe Reader 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh
Adobe Acrobat
이 제품의 기본 업데이트 메커니즘은 정기적으로 자동 업데이트 확인을 하도록 설정되어 있습니다. 도움말 > 업데이트 확인을 선택하여 수동으로 활성화할 수 있습니다.
Windows를 사용하는 Acrobat Standard 및 Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows
Macintosh를 사용하는 Acrobat Pro 사용자는 다음 사이트에서 적절한 업데이트를 찾을 수 있습니다. http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh
우선 순위 및 심각도 등급
Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
|
업데이트 버전 |
플랫폼 |
우선 순위 등급 |
|
|
Adobe Reader |
11.0.11 |
Windows 및 Macintosh |
1 |
|
|
10.1.14 |
Windows 및 Macintosh |
1 |
|
|
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows 및 Macintosh |
1 |
|
|
10.1.14 |
Windows 및 Macintosh |
1 |
이 업데이트는 해당 소프트웨어에서 위험 수준의 취약점을 해결합니다.
자세한 내용
Adobe는 Windows와 Macintosh용 Adobe Reader 및 Acrobat 보안 업데이트를 발표했습니다. 이 업데이트는 침입자가 해당 시스템을 제어할 수 있게 하는 잠재적인 취약성을 해결합니다.따라서 제품을 아래와 같이 최신 버전으로 업데이트하는 것이 좋습니다.
Adobe Reader XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다.
Adobe Reader X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.
Adobe Acrobat XI(11.0.10) 이하 버전 사용자는 버전 11.0.11로 업데이트해야 합니다.
Adobe Acrobat X(10.1.13) 이하 버전 사용자는 버전 10.1.14으로 업데이트해야 합니다.
이 업데이트는 코드를 실행할 수 있는 메모리 해제 후 사용(UAF) 취약점을 해결합니다(CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
이 업데이트는 코드를 실행할 수 있는 힙 기반 버퍼 오버플로우 취약점을 해결합니다(CVE-2014-9160).
이 업데이트는 코드를 실행할 수 있는 버퍼 오버플로우 취약점을 해결합니다(CVE-2015-3048).
이 업데이트는 코드를 실행할 수 있는 메모리 손상 취약점을 해결합니다(CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076).
이 업데이트는 메모리 누수를 해결합니다(CVE-2015-3058).
이 업데이트는 자바스크립트 API 실행에 대한 제한을 우회하는 여러 방법을 해결합니다(CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
이 업데이트는 서비스 거부 조건으로 이어질 수 있는 Null 포인터 역참조 문제를 해결합니다(CVE-2015-3047).
이 업데이트는 정보를 유출할 수 있는 XML 외부 개체 취급의 취약점(CVE-2014-8452)으로부터 보호하기 위한 추가 강화를 제공합니다.
감사의 말
Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
HP Zero Day Initiative의 AbdulAziz Hariri(CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Cure53.de의 Alex Inführ(CVE-2014-8452, CVE-2015-3076)
Beyond Security의 SecuriTeam Secure Disclosure를 통해 익명으로 보고됨(CVE-2015-3075)
HP Zero Day Initiative를 담당하는 bilou(CVE-2015-3059)
HP Zero Day Initiative의 Brian Gorenc(CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
HP Zero Day Initiative의 Dave Weinstein(CVE-2015-3069)
Alibaba Security Research Team의 instruder(CVE-2015-3070)
HP Zero Day Initiative를 담당하는 lokihardt@asrt(CVE-2015-3074)
Google Project Zero의 Mateusz Jurczyk(CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Google Project Zero의 Mateusz Jurczyk 및 Google Security Team의 Gynvael Coldwind(CVE-2014-9160, CVE-2014-9161)
HP Zero Day Initiative의 Simon Zuckerbraun(CVE-2015-3060, CVE-2015-3062)
Nanyang Technological University의 Wei Lei, Wu Hongjun 및 Wang Jing(CVE-2015-3047)
Nanyang Technological University의 Wei Lei 및 Wu Hongjun(CVE-2015-3046)
Intel Labs의 Xiaoning Li 및 McAfee Labs IPS Team의 Haifei Li(CVE-2015-3048)
