Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Reader og Acrobat

Utgivelsesdato: 16. september 2014

Sikkerhetsproblemidentifikator: APSB14-20

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet. Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Reader XI (11.0.08) og tidligere versjoner bør oppdatere til versjon 11.0.09.
  • For brukere av Adobe Reader X (10.1.11) og tidligere versjoner som ikke kan oppdatere til versjon 11.0.09, har Adobe gjort versjon 10.1.12 tilgjengelig.
  • Brukere av Adobe Acrobat XI (11.0.08) og tidligere versjoner bør oppdatere til versjon 11.0.09.
  • For brukere av Adobe Acrobat X (10.1.11) og tidligere versjoner som ikke kan oppdatere til versjon 11.0.09, har Adobe gjort versjon 10.1.12 tilgjengelig.

Berørte programversjoner

  • Adobe Reader XI (11.0.08) og tidligere 11.x-versjoner for Windows
  • Adobe Reader XI (11.0.07) og tidligere 11.x-versjoner for Macintosh
  • Adobe Reader X (10.1.11) og tidligere 10.x-versjoner for Windows
  • Adobe Reader X (10.1.10) og tidligere 10.x-versjoner for Macintosh
  • Adobe Acrobat XI (11.0.08) og tidligere 11.x-versjoner for Windows
  • Adobe Acrobat XI (11.0.07) og tidligere 11.x-versjoner for Macintosh
  • Adobe Acrobat X (10.1.11) og tidligere 10.x-versjoner for Windows
  • Adobe Acrobat X (10.1.10) og tidligere 10.x-versjoner for Macintosh

Løsning

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor:

Adobe Reader

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Adobe Reader-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Reader-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Acrobat Standard- og Pro-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pro-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Klassifiseringer for prioritet og alvorlighetsgrad

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt Oppdatert versjon Plattform Prioritet klassifisering
Adobe Reader XI 11.0.09
Windows og Macintosh
1
Adobe Reader X 10.1.12
Windows og Macintosh 1
Adobe Acrobat XI 11.0.09
Windows og Macintosh
1
Adobe Acrobat X
10.1.12
Windows og Macintosh
1

Disse oppdateringene gjelder alvorlige sikkerhetsbrudd i programvaren.

Detaljer

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet. Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Reader XI (11.0.08) og tidligere versjoner bør oppdatere til versjon 11.0.09.
  • For brukere av Adobe Reader X (10.1.11) og tidligere versjoner som ikke kan oppdatere til versjon 11.0.09, har Adobe gjort versjon 10.1.12 tilgjengelig.
  • Brukere av Adobe Acrobat XI (11.0.08) og tidligere versjoner bør oppdatere til versjon 11.0.09.
  • For brukere av Adobe Acrobat X (10.1.11) og tidligere versjoner som ikke kan oppdatere til versjon 11.0.09, har Adobe gjort versjon 10.1.12 tilgjengelig.

Disse oppdateringene løser et "use-after-free"-sikkerhetsproblem som kan føre til kjøring av kode (CVE-2014-0560).

Disse oppdateringene løser en universell UXSS-sårbarhet (skript på tvers av nettsteder) i Reader og Acrobat på Macintosh-plattformen (CVE-2014-0562).

Disse oppdateringene løser en potensiell DoS-sårbarhet (tjenestenekt) i forbindelse med minneødeleggelse (CVE-2014-0563).

Disse oppdateringene løser et problem med heap-overflyt som kan føre til kjøring av kode (CVE-2014-0561, CVE-2014-0567).

Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (-0565, CVE-2014-, CVE-2014-0566).

Disse problemene gjelder en sårbarhet for omgåelse av Sandbox-beskyttelsen som kan utnyttes til å kjøre egen kode med eskalerte rettigheter i Windows (CVE-2014-0568).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Wei Lei og Wu Hongjun fra Nanyang Technological University i samarbeid med Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris, som arbeider med HPs Zero Day Initiative (CVE-2014-0561)
  • Frans Rosen fra Detectify (CVE-2014-0562)
  • Wei Lei og Wu Hongjun fra Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Rapportert anonymt via HPs Zero Day Initiative (CVE-2014-0567)
  • James Forshaw fra Google Project Zero (CVE-2014-0568)