Releasedatum: 9 december 2014
ID kwetsbaarheidsprobleem: APSB14-28
Prioriteit: zie onderstaande tabel
CVE-nummers: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Platform: Windows en Macintosh
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Reader en Acrobat voor Windows en Macintosh. Deze updates verhelpen kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle kan krijgen over het desbetreffende systeem. Adobe raadt gebruikers aan hun productinstallaties bij te werken naar de recentste versies:
- Gebruikers van Adobe Reader XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
- Gebruikers van Adobe Reader X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
- Gebruikers van Adobe Acrobat XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
- Gebruikers van Adobe Acrobat X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
- Adobe Reader XI (11.0.09) en eerdere 11.x-versies
- Adobe Reader X (10.1.12) en eerdere 10.x-versies
- Adobe Acrobat XI (11.0.09) en eerdere 11.x-versies
- Adobe Acrobat X (10.1.12) en eerdere 10.x-versies
Adobe raadt gebruikers aan om hun software bij te werken aan de hand van de onderstaande instructies:
Adobe Reader
Het updatemechanisme van het product is standaard ingesteld om regelmatig automatische controles op updates uit te voeren. U kunt de controles op updates ook handmatig activeren door Help > Controleren op updates te kiezen.
Gebruikers van Adobe Reader in Windows kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows
Gebruikers van Adobe Reader in Macintosh kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh
Adobe Acrobat
Het updatemechanisme van het product is standaard ingesteld om regelmatig automatische controles op updates uit te voeren. U kunt de controles op updates ook handmatig activeren door Help > Controleren op updates te kiezen.
Gebruikers van Acrobat Standard en Pro in Windows kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows
Gebruikers van Acrobat Pro in Macintosh kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
Deze updates verhelpen kritieke kwetsbaarheden in de software.
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Reader en Acrobat voor Windows en Macintosh. Deze updates verhelpen kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle kan krijgen over het desbetreffende systeem. Adobe raadt gebruikers aan hun productinstallaties bij te werken naar de recentste versies:
- Gebruikers van Adobe Reader XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
- Gebruikers van Adobe Reader X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
- Gebruikers van Adobe Acrobat XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
- Gebruikers van Adobe Acrobat X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
Deze updates verhelpen 'use-after-free'-kwetsbaarheden die tot code-uitvoering kunnen leiden (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Deze updates verhelpen kwetsbaarheden voor heapgebaseerde bufferoverloop die tot code-uitvoering kunnen leiden (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Deze updates verhelpen een kwetsbaarheid met betrekking tot integeroverloop die tot code-uitvoering kan leiden (CVE-2014-8449).
Deze updates verhelpen kwetsbaarheden voor geheugenbeschadiging die tot code-uitvoering kunnen leiden (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Deze updates verhelpen een probleem met een TOCTOU-racevoorwaarde (time-of-check time-of-use) dat kan worden misbruikt om willekeurige schrijftoegang tot het bestandssysteem toe te staan (CVE-2014-9150).
Deze updates bieden een oplossing voor een onjuiste implementatie van een Javascript-API die ertoe kan leiden dat informatie openbaar wordt gemaakt (CVE-2014-8448, CVE-2014-8451).
Deze updates bieden een oplossing voor een kwetsbaarheid in de verwerking van externe XML-entiteiten die ertoe kan leiden dat informatie openbaar wordt gemaakt (CVE-2014-8452).
Deze updates verhelpen kwetsbaarheden waarmee de SOP-beveiliging (same-origin policy) kan worden omzeild (CVE-2014-8453).
Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun inspanningen om samen met Adobe onze klanten te beschermen:
- Alex Inführ van Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari van Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher en Dan Caselden van FireEye (CVE-2014-8454)
- Jack Tang van Trend Micro (CVE-2014-8447)
- James Forshaw van Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk van Google Project Zero en Gynvael Coldwind van Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro van Agile Information Security (CVE-2014-8449)
- Wei Lei en Wu Hongjun van Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)