Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader

Utgivelsesdato: 14. juli 2015

Sikkerhetsproblemidentifikator: APSB15-15

Prioritet: Se tabellen nedenfor

CVE-numre:  CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Plattformer: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC Kontinuerlig 2015.007.20033
Windows og Macintosh
Acrobat Reader DC Kontinuerlig 2015.007.20033
Windows og Macintosh
       
Acrobat DC Klassisk 2015.006.30033
Windows og Macintosh
Acrobat Reader DC Klassisk 2015.006.30033
Windows og Macintosh
       
Acrobat XI Ikke tilgjengelig 11.0.11 og tidligere versjoner Windows og Macintosh
Acrobat X Ikke tilgjengelig 10.1.14 og tidligere versjoner Windows og Macintosh
       
Reader XI Ikke tilgjengelig 11.0.11 og tidligere versjoner Windows og Macintosh
Reader X Ikke tilgjengelig 10.1.14 og tidligere versjoner Windows og Macintosh

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC. Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler brukere å oppdatere programvareinstallasjonene til de nyeste versjonene, ved hjelp av følgende metoder:  

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.  
  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning.  
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.  

For IT-administratorer (administrerte miljøer):  

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på Macintosh, Apple Remote Desktop og SSH. 
Produkt Track Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Kontinuerlig 2015.008.20082
Windows og Macintosh 2

Windows

Macintosh

Acrobat Reader DC Kontinuerlig 2015.008.20082
Windows og Macintosh 2 Nedlastingssenter
           
Acrobat DC Klassisk 2015.006.30060
Windows og Macintosh
2

Windows

Macintosh

Acrobat Reader DC Klassisk 2015.006.30060
Windows og Macintosh 2

Windows

Macintosh

           
Acrobat XI Ikke tilgjengelig 11.0.12 Windows og Macintosh 2

Windows

Macintosh

Acrobat X Ikke tilgjengelig 10.1.15 Windows og Macintosh 2

Windows

Macintosh

           
Reader XI Ikke tilgjengelig 11.0.12 Windows og Macintosh 2

Windows

Macintosh

Reader X Ikke tilgjengelig 10.1.15 Windows og Macintosh 2

Windows

Macintosh

Mer informasjon om sikkerhetsproblemet

  • Disse oppdateringene løser et problem med bufferoverflyt som kan føre til kjøring av kode (CVE-2015-5093).  
  • Disse oppdateringene løser sikkerhetsproblemer med heap-bufferoverflyt som kan føre til kjøring av kode (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Disse oppdateringene løser et sikkerhetsproblem knyttet til informasjonslekkasje (CVE-2015-5107).  
  • Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Disse oppdateringene løser et problem med stakkoverflyt som kan føre til kjøring av kode (CVE-2015-5110). 
  • Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Disse oppdateringene løser problemer med valideringsomgåelse som kan utnyttes til å utføre eskalering av rettigheter fra lavt til middels integritetsnivå (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Disse oppdateringene løser et problem med valideringsomgåelse som kan utnyttes og føre til et DoS-angrep på det berørte systemet (CVE-2015-5091).  
  • Disse oppdateringene løser et problem med heltallsoverflyt som kan føre til kjøring av kode (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Disse oppdateringene løser forskjellige metoder for å omgå begrensninger for Javascript API-kjøring (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Disse oppdateringene løser et dereferanseproblem med nullpeker som kan føre til et DoS-angrep (CVE-2015-4443, CVE-2015-4444). 

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet: 

  • AbdulAziz Hariri og Jasiel Spelman fra HP Zero Day Initiative (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri fra HP Zero Day Initiative (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ fra Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)
  • bilou i samarbeid med VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Brian Gorenc fra HP Zero Day Initiative (CVE-2015-5100, CVE-2015-5111) 
  • Security Research Team fra MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw fra Google Project Zero (CVE-2015-4446) 
  • Jihui Lu fra KeenTeam (CVE-2015-5087) 
  • JinCheng Liu fra Alibaba Security Research Team (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Keen Team i samarbeid med HP Zero Day Initiative (CVE-2015-5108) 
  • kernelsmith i samarbeid med HP Zero Day Initiative (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk fra Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe fra HP Zero Day Initiative (CVE-2015-4445) 
  • Mauro Gentile fra Minded Security (CVE-2015-5092) 
  • Nicolas Joly i samarbeid med HP Zero Day Initiative (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei Lei og Wu Hongjun fra Nanyang Technological University (-0566-, CVE-2014) 
  • Wu Ha fra Alibaba Security Research Team (CVE-2015-4443, CVE-2015-4444)