Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Reader og Acrobat

Utgivelsesdato: 9. desember 2014

Sikkerhetsproblemidentifikator: APSB14-28

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Reader XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
  • Brukere av Adobe Reader X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.
  • Brukere av Adobe Acrobat XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
  • Brukere av Adobe Acrobat X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.

Berørte programversjoner

  • Adobe Reader XI (11.0.09) og tidligere 11.x-versjoner
  • Adobe Reader X (10.1.12) og tidligere 10.x-versjoner
  • Adobe Acrobat XI (11.0.09) og tidligere 11.x-versjoner
  • Adobe Acrobat X (10.1.12) og tidligere 10.x-versjoner

Løsning

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor:

Adobe Reader

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Adobe Reader-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Reader-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Acrobat Standard- og Pro-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pro-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Klassifiseringer for prioritet og alvorlighetsgrad

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt Oppdatert versjon Plattform Prioritet klassifisering
Adobe Reader 11.0.10
Windows og Macintosh
1
  10.1.13
Windows og Macintosh 1
       
Adobe Acrobat 11.0.10
Windows og Macintosh
1
  10.1.13
Windows og Macintosh
1

Disse oppdateringene gjelder alvorlige sikkerhetsbrudd i programvaren.

Detaljer

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Reader XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
  • Brukere av Adobe Reader X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.
  • Brukere av Adobe Acrobat XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
  • Brukere av Adobe Acrobat X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Disse oppdateringene løser sikkerhetsproblemer med heap-basert bufferoverflyt som kan føre til kjøring av kode (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Disse oppdateringene løser et problem med heltallsoverflyt som kan føre til kjøring av kode (CVE-2014-8449).

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Disse oppdateringene løser ert TOCTOU-problem (time-of-check time-of-use) som kan utnyttes for å tillate vilkårlig skrivetilgang til filsystemet (CVE-2014-9150).

Disse oppdateringene løser en feilimplementering av et JavaScript-API som kan føre til avsløring av informasjon (CVE-2014-8448, CVE-2014-8451).

Disse oppdateringene løser et sikkerhetsproblem i håndteringen av eksterne XML-entiteter som kan føre til avsløring av informasjon (CVE-2014-8452).

Disse oppdateringene løser sikkerhetsproblemer som kan utnyttes for å omgå policyen for samme opprinnelse (CVE-2014-8453).  

Anerkjennelser

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Alex Inführ hos Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari hos Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher og Dan Caselden hos FireEye (CVE-2014-8454)
  • Jack Tang hos Trend Micro (CVE-2014-8447)
  • James Forshaw fra Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk fra Google Project Zero og Gynvael Coldwind fra Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro hos Agile Information Security (CVE-2014-8449)
  • Wei Lei og Wu Hongjun fra Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)