Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Acrobat und Reader

Freigabedatum: 14. Juli 2015

Kennung der Sicherheitslücke: APSB15-15

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.   

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC Fortlaufend 2015.007.20033
Windows und Macintosh
Acrobat Reader DC Fortlaufend 2015.007.20033
Windows und Macintosh
       
Adobe Acrobat DC Klassisch 2015.006.30033
Windows und Macintosh
Acrobat Reader DC Klassisch 2015.006.30033
Windows und Macintosh
       
Acrobat XI 11.0.11 und frühere Versionen Windows und Macintosh
Acrobat X 10.1.14 und frühere Versionen Windows und Macintosh
       
Reader XI 11.0.11 und frühere Versionen Windows und Macintosh
Reader X 10.1.14 und frühere Versionen Windows und Macintosh

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.   

Lösung

Adobe empfiehlt Anwendern, ihre Softwareinstallation auf die neueste Version anhand einer der folgenden Methoden zu aktualisieren:  

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.  
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.  
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.  

Für IT-Administratoren (verwaltete Umgebungen):  

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.  
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH. 
Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC Fortlaufend 2015.008.20082
Windows und Macintosh
2

Windows 

Macintosh

Acrobat Reader DC Fortlaufend 2015.008.20082
Windows und Macintosh 2 Download-Center
           
Adobe Acrobat DC Klassisch 2015.006.30060
Windows und Macintosh 2

Windows 

Macintosh

Acrobat Reader DC Klassisch 2015.006.30060
Windows und Macintosh 2

Windows 

Macintosh

           
Acrobat XI 11.0.12 Windows und Macintosh 2

Windows 

Macintosh

Acrobat X 10.1.15 Windows und Macintosh 2

Windows 

Macintosh

           
Reader XI 11.0.12 Windows und Macintosh 2

Windows 

Macintosh

Reader X 10.1.15 Windows und Macintosh 2

Windows 

Macintosh

Details zu Sicherheitslücken

  • Mit den Updates wird eine Sicherheitslücke geschlossen, die aufgrund eines Pufferüberlaufs entsteht und die Ausführung von Code ermöglichen könnte (CVE-2015-5093).  
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Diese Updates schließen eine Sicherheitslücke, die ein unbeabsichtigtes Durchsickern von Daten ermöglicht (CVE-2015-5107).  
  • Diese Updates lösen Sicherheitsschwachstellen, die zur Offenlegung von Informationen führen können (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Stapelüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-5110). 
  • Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Diese Updates beheben ein Problem bei der Umgehung der Validierung, das ausgenutzt werden könnte, um Berechtigungen von einer niedrigen auf eine mittlere Integritätsebene zu eskalieren (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Diese Updates beheben ein Problem bei der Umgehung der Validierung, das ausgenutzt werden könnte, um eine Denial-of-Service-Bedingung auf dem betroffenen System auszulösen (CVE-2015-5091).  
  • Die Updates schließen Sicherheitslücken, die aufgrund eines Integerüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Diese Updates lösen verschiedene Methoden auf, um Einschränkungen für JavaScript API Execution zu umgehen  (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Diese Updates beheben Probleme mit der Null-Zeiger-Dereferenzierung, die zu einer Denial-of-Service-Bedingung führen können (CVE-2015-4443, CVE-2015-4444). 

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden: 

  • AbdulAziz Hariri und Jasiel Spelman von der Zero Day-Initiative von HP (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri von der Zero Day-Initiative von HP (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ von Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)  
  • bilou in Zusammenarbeit mit VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Brian Gorenc von der Zero Day-Initiative von HP (CVE-2015-5100, CVE-2015-5111) 
  • Security Research Team bei MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw vom Google Project Zero (CVE-2015-4446) 
  • Jihui Lu von KeenTeam (CVE-2015-5087) 
  • JinCheng Liu vom Alibaba Security Research Team (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Keen Team in Zusammenarbeit mit der Zero Day-Initiative von HP (CVE-2015-5108) 
  • kernelsmith in Zusammenarbeit mit der Zero Day-Initiative von HP (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk von Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe von der Zero Day-Initiative von HP (CVE-2015-4445) 
  • Mauro Gentile von Minded Security (CVE-2015-5092) 
  • Nicolas Joly in Zusammenarbeit mit der Zero Day-Initiative von HP (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei-Leu und Wu Hongjun von der Nanyang Technological University (-0566-, CVE-2014) 
  • Wu Ha vom Alibaba Security Research Team (CVE-2015-4443, CVE-2015-4444)