Sicherheits-Updates für Adobe Reader und Acrobat
Veröffentlichungsdatum: 12. Mai 2015
Kennung der Sicherheitslücke: APSB15-10
Priorität: Siehe Tabelle unten
CVE-Nummern: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Plattform: Windows und Macintosh
Zusammenfassung
Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Anwendern von Adobe Reader XI (11.0.10) und älteren Versionen wird empfohlen, auf die Version 11.0.11 zu aktualisieren.
Anwendern von Adobe Reader X (10.1.13) und älteren Versionen wird empfohlen, auf die Version 10.1.14 zu aktualisieren.
Anwendern von Adobe Reader XI (11.0.10) und älteren Versionen wird empfohlen, auf die Version 11.0.11 zu aktualisieren.
Anwendern von Adobe Acrobat X (10.1.13) und älteren Versionen wird empfohlen, auf die Version 10.1.14 zu aktualisieren.
Betroffene Softwareversionen
Adobe Reader XI (11.0.10) und frühere 11.x-Versionen
Adobe Reader X (10.1.13) und frühere 10.x-Versionen
Adobe Acrobat XI (11.0.10) und frühere 11.x-Versionen
- Adobe Acrobat X (10.1.13) und frühere 10.x-Versionen
Hinweis: Adobe Acrobat Reader ist von den CVE-Verweisen in diesem Bulletin nicht betroffen.
Lösung
Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Adobe Reader
In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.
Anwender von Adobe Reader für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Anwender von Adobe Reader für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
In der Standardkonfiguration des Produkts wird in regelmäßigen Abständen automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe“ > „Nach Updates suchen“.
Anwender von Acrobat Standard und Pro für Windows finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Anwender von Acrobat Pro für Macintosh finden das entsprechende Update unter: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Priorität und Schweregrad
Adobe stuft die Priorität dieser Updates wie folgt ein; die Installation wird allen Anwendern empfohlen:
Aktualisierte Version |
Plattform |
Priorität |
|
Adobe Reader |
11.0.11 |
Windows und Macintosh |
1 |
|
10.1.14 |
Windows und Macintosh |
1 |
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows und Macintosh |
1 |
|
10.1.14 |
Windows und Macintosh |
1 |
Diese Updates beheben kritische Sicherheitslücken in der Software.
Details
Adobe hat Sicherheits-Updates für Adobe Reader und Acrobat für Windows und Macintosh veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen können. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Anwendern von Adobe Reader XI (11.0.10) und älteren Versionen wird empfohlen, auf die Version 11.0.11 zu aktualisieren.
Anwendern von Adobe Reader X (10.1.13) und älteren Versionen wird empfohlen, auf die Version 10.1.14 zu aktualisieren.
Anwendern von Adobe Reader XI (11.0.10) und älteren Versionen wird empfohlen, auf die Version 11.0.11 zu aktualisieren.
Anwendern von Adobe Acrobat X (10.1.13) und älteren Versionen wird empfohlen, auf die Version 10.1.14 zu aktualisieren.
Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Codes (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075) ermöglichen.
Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-basierten Pufferüberlaufs entstehen und die Ausführung von Code (CVE-2014-9160) ermöglichen.
Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs entsteht und die Ausführung von Code (CVE-2015-3048) ermöglicht.
Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Codes (-2014-, -9161, CVE-3076-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-, CVE-2015) ermöglichen.
Diese Updates beheben ein Speicherleck (CVE-2015-3058).
Diese Updates lösen verschiedene Methoden auf, um Einschränkungen für JavaScript API Execution zu umgehen (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
Dieses Update löst eine NULL-Zeiger-Dereferenzierung, die das Ausführen des Dienstes verhindern könnte (CVE-2015-3047).
Die Updates bieten zusätzliches Härten, um gegen CVE-2014-8452 zu schützen – eine Sicherheitslücke im Umgang mit externen Einheiten von XML, die zur Informationspreisgabe führen könnte.
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
AbdulAziz Hariri von der Zero Day Initiative von HP (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Alex Inführ von Cure53.de (CVE-2014-8452, CVE-2015-3076)
Anonym gemeldet über SecuriTeam Secure Disclosure von Beyond Security (CVE-2015-3075)
bilou in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-3059)
Brian Gorenc von der Zero Day Initiative von HP (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
Dave Weinstein von der Zero Day Initiative von HP (CVE-2015-3069)
instruder vom Alibaba Security Research Team (CVE-2015-3070)
lokihardt@asrt in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-3074)
Mateusz Jurczyk von Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Mateusz Jurczyk von Google Project Zero und Gynvael Coldwind vom Google Security Team (CVE-2014-9160, CVE-2014-9161)
Simon Zuckerbraun in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-3060, CVE-2015-3062)
Wei Lei sowie Wu Hongjun und Wang Jing von der Nanyang Technological University (CVE-2015-3047)
Wei Lei sowie Wu Hongjun von der Nanyang Technological University (CVE-2015-3046)
Xiaoning Li von Intel Labs und Haifei Li vom McAfee Labs IPS Team (CVE-2015-3048)