Beveiligingsupdates beschikbaar voor Adobe Reader en Acrobat

Releasedatum: 9 december 2014

ID kwetsbaarheidsprobleem: APSB14-28

Prioriteit: zie onderstaande tabel

CVE-nummers: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platform: Windows en Macintosh

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Reader en Acrobat voor Windows en Macintosh. Deze updates verhelpen kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle kan krijgen over het desbetreffende systeem.   Adobe raadt gebruikers aan hun productinstallaties bij te werken naar de recentste versies:

  • Gebruikers van Adobe Reader XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
  • Gebruikers van Adobe Reader X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
  • Gebruikers van Adobe Acrobat XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
  • Gebruikers van Adobe Acrobat X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.

Van toepassing op de volgende softwareversies

  • Adobe Reader XI (11.0.09) en eerdere 11.x-versies
  • Adobe Reader X (10.1.12) en eerdere 10.x-versies
  • Adobe Acrobat XI (11.0.09) en eerdere 11.x-versies
  • Adobe Acrobat X (10.1.12) en eerdere 10.x-versies 

Oplossing

Adobe raadt gebruikers aan om hun software bij te werken aan de hand van de onderstaande instructies:

Adobe Reader

Het updatemechanisme van het product is standaard ingesteld om regelmatig automatische controles op updates uit te voeren. U kunt de controles op updates ook handmatig activeren door Help > Controleren op updates te kiezen.

Gebruikers van Adobe Reader in Windows kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Gebruikers van Adobe Reader in Macintosh kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

Het updatemechanisme van het product is standaard ingesteld om regelmatig automatische controles op updates uit te voeren. U kunt de controles op updates ook handmatig activeren door Help > Controleren op updates te kiezen.

Gebruikers van Acrobat Standard en Pro in Windows kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Gebruikers van Acrobat Pro in Macintosh kunnen hier de juiste update vinden: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Graadmeter voor prioriteit en ernst

Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:

Product Bijgewerkte versie Platform Prioriteitsbeoordeling
Adobe Reader 11.0.10
Windows en Macintosh
1
  10.1.13
Windows en Macintosh 1
       
Adobe Acrobat 11.0.10
Windows en Macintosh
1
  10.1.13
Windows en Macintosh
1

Deze updates verhelpen kritieke kwetsbaarheden in de software.

Details

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Reader en Acrobat voor Windows en Macintosh. Deze updates verhelpen kwetsbaarheden die ertoe kunnen leiden dat een aanvaller de controle kan krijgen over het desbetreffende systeem.   Adobe raadt gebruikers aan hun productinstallaties bij te werken naar de recentste versies:

  • Gebruikers van Adobe Reader XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
  • Gebruikers van Adobe Reader X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.
  • Gebruikers van Adobe Acrobat XI (11.0.09) en eerdere versies moeten een update uitvoeren naar versie 11.0.10.
  • Gebruikers van Adobe Acrobat X (10.1.12) en eerdere versies moeten een update uitvoeren naar versie 10.1.13.

Deze updates verhelpen 'use-after-free'-kwetsbaarheden die tot code-uitvoering kunnen leiden (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Deze updates verhelpen kwetsbaarheden voor heapgebaseerde bufferoverloop die tot code-uitvoering kunnen leiden (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Deze updates verhelpen een kwetsbaarheid met betrekking tot integeroverloop die tot code-uitvoering kan leiden (CVE-2014-8449).

Deze updates verhelpen kwetsbaarheden voor geheugenbeschadiging die tot code-uitvoering kunnen leiden (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Deze updates verhelpen een probleem met een TOCTOU-racevoorwaarde (time-of-check time-of-use) dat kan worden misbruikt om willekeurige schrijftoegang tot het bestandssysteem toe te staan (CVE-2014-9150).

Deze updates bieden een oplossing voor een onjuiste implementatie van een Javascript-API die ertoe kan leiden dat informatie openbaar wordt gemaakt (CVE-2014-8448, CVE-2014-8451).

Deze updates bieden een oplossing voor een kwetsbaarheid in de verwerking van externe XML-entiteiten die ertoe kan leiden dat informatie openbaar wordt gemaakt (CVE-2014-8452).

Deze updates verhelpen kwetsbaarheden waarmee de SOP-beveiliging (same-origin policy) kan worden omzeild (CVE-2014-8453).  

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun inspanningen om samen met Adobe onze klanten te beschermen:

  • Alex Inführ van Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari van Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher en Dan Caselden van FireEye (CVE-2014-8454)
  • Jack Tang van Trend Micro (CVE-2014-8447)
  • James Forshaw van Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk van Google Project Zero en Gynvael Coldwind van Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro van Agile Information Security (CVE-2014-8449)
  • Wei Lei en Wu Hongjun van Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)