Sicherheits-Updates für Adobe Digital Editions | APSB17-27
Bulletin-ID Veröffentlichungsdatum Priorität
APSB17-27 08. August 2017 2

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Digital Editions für Windows, Macintosh, iOS und Android veröffentlicht. Dieses Update behebt eine als kritisch eingestufte Sicherheitslücke im Zusammenhang mit dem Heappuffer-Überlauf, die zur Ausführung schädlichen Codes führen könnte, sieben Sicherheitslücken, die zur Arbeitsspeicherbeschädigung führen könnten und als wichtig eingestuft wurden, da sie zur Offenlegung von Arbeitsspeicheradressen führen könnten, sowie eine Sicherheitslücke im Zusammenhang mit der Verarbeitung externer XML-Entitäten, die als kritisch eingestuft wurde und zur Offenlegung von  Informationen führen könnte.

Betroffene Produktversionen

Produkt Version Plattform
Adobe Digital Editions 4.5.5 und frühere Versionen Windows, Macintosh, iOS und Android

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Version Plattform Priorität Verfügbarkeit
Adobe Digital Editions 4.5.6 Windows  2 Download-Seite
Macintosh 2 Download-Seite
iOS  2 iTunes
Android 2 Playstore

Hinweis:

  • Kunden, die Adobe Digital Editions 4.5.5 unter Windows verwenden, können das Update von der Download-Seite für Adobe Digital Editions herunterladen oder nach Aufforderung das Update-Programm des Produktes verwenden.
  • Weitere Informationen finden Sie in den Versionshinweisen.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummern
Puffer-Überlauf Ausführung von externem Code Kritisch CVE-2017-11274
Speicherbeschädigung Offenlegung von Speicheradressen Wichtig CVE-2017-3091, CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280
Analyse externer XML-Entitäten Offenlegung von Informationen Kritisch CVE-2017-11272

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Steven Seeley von Source Incite (CVE-2017-11272)
  • Steven Seeley von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2017-3091, CVE-2017-11274)
  • Jaanus Kääp, Clarified Security (CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279)
  • riusksk vom Tencent Security Platform Department (CVE-2017-11280)