Adobe – sikkerhetsbulletin

Utgivelsesdato: 9. desember 2014

Sikkerhetsproblemidentifikator: APSB14-28

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plattform: Windows og Macintosh

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

• Brukere av Adobe Reader XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
• Brukere av Adobe Reader X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.
• Brukere av Adobe Acrobat XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
• Brukere av Adobe Acrobat X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.

• Adobe Reader XI (11.0.09) og tidligere 11.x-versjoner
• Adobe Reader X (10.1.12) og tidligere 10.x-versjoner
• Adobe Acrobat XI (11.0.09) og tidligere 11.x-versjoner
• Adobe Acrobat X (10.1.12) og tidligere 10.x-versjoner

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor:

Adobe Reader

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Adobe Reader-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Adobe Reader-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Acrobat Standard- og Pro-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pro-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Disse oppdateringene gjelder alvorlige sikkerhetsbrudd i programvaren.

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

• Brukere av Adobe Reader XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
• Brukere av Adobe Reader X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.
• Brukere av Adobe Acrobat XI (11.0.09) og tidligere versjoner bør oppdatere til versjon 11.0.10.
• Brukere av Adobe Acrobat X (10.1.12) og tidligere versjoner bør oppdatere til versjon 10.1.13.

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Disse oppdateringene løser sikkerhetsproblemer med heap-basert bufferoverflyt som kan føre til kjøring av kode (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Disse oppdateringene løser et problem med heltallsoverflyt som kan føre til kjøring av kode (CVE-2014-8449).

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Disse oppdateringene løser ert TOCTOU-problem (time-of-check time-of-use) som kan utnyttes for å tillate vilkårlig skrivetilgang til filsystemet (CVE-2014-9150).

Disse oppdateringene løser en feilimplementering av et JavaScript-API som kan føre til avsløring av informasjon (CVE-2014-8448, CVE-2014-8451).

Disse oppdateringene løser et sikkerhetsproblem i håndteringen av eksterne XML-entiteter som kan føre til avsløring av informasjon (CVE-2014-8452).

Disse oppdateringene løser sikkerhetsproblemer som kan utnyttes for å omgå policyen for samme opprinnelse (CVE-2014-8453).  

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

• Alex Inführ hos Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
• Ashfaq Ansari hos Payatu Technologies (CVE-2014-8446)
• Corbin Souffrant, Armin Buescher og Dan Caselden hos FireEye (CVE-2014-8454)
• Jack Tang hos Trend Micro (CVE-2014-8447)
• James Forshaw fra Google Project Zero (CVE-2014-9150)
• lokihardt@asrt (CVE-2014-8448)
• Mateusz Jurczyk fra Google Project Zero og Gynvael Coldwind fra Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
• Pedro Ribeiro hos Agile Information Security (CVE-2014-8449)
• Wei Lei og Wu Hongjun fra Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)