Sikkerhetsoppdateringer tilgjengelig for Adobe Reader og Acrobat

Utgivelsesdato: 12. mai 2015

Sikkerhetsproblemidentifikator: APSB15-10

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene: 

  • Brukere av Adobe Reader XI (11.0.10) og tidligere versjoner bør oppdatere til versjon 11.0.11. 

  • Brukere av Adobe Reader X (10.1.13) og tidligere versjoner bør oppdatere til versjon 10.1.14. 

  • Brukere av Adobe Acrobat XI (11.0.10) og tidligere versjoner bør oppdatere til versjon 11.0.11. 

  • Brukere av Adobe Acrobat X (10.1.13) og tidligere versjoner bør oppdatere til versjon 10.1.14.

Berørte programversjoner

  • Adobe Reader XI (11.0.10) og tidligere 11.x-versjoner 

  • Adobe Reader X (10.1.13) og tidligere 10.x-versjoner  

  • Adobe Acrobat XI (11.0.10) og tidligere 11.x-versjoner  

  • Adobe Acrobat X (10.1.13) og tidligere 10.x-versjoner

Obs! Adobe Acrobat Reader DC påvirkes ikke av CVE-numrene som det refereres til i denne bulletinen.

 

Løsning

Adobe anbefaler at brukerne oppdaterer sine programvareinstallasjoner ved å følge instruksjonene nedenfor:

Adobe Reader

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Adobe Reader-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Adobe Reader-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Produktets standard oppdateringsmekanisme er satt til å kjøre automatiske oppdateringskontroller med jevne mellomrom. Oppdateringskontrollene kan aktiveres manuelt ved å velge Help > Check for Updates.

Acrobat Standard- og Pro-brukere på Windows finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Acrobat Pro-brukere på Macintosh finner riktig oppdatering her: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Klassifiseringer for prioritet og alvorlighetsgrad

 Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt Oppdatert versjon Plattform Prioritet klassifisering
Adobe Reader 11.0.11
Windows og Macintosh
1
  10.1.14
Windows og Macintosh 1
       
Adobe Acrobat 11.0.11 Windows og Macintosh 1
  10.1.14 Windows og Macintosh 1

Disse oppdateringene gjelder alvorlige sikkerhetsbrudd i programvaren.

Detaljer

Adobe har lansert sikkerhetsoppdateringer for Adobe Reader og Acrobat for Windows og Macintosh. Disse oppdateringene løser sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta over det berørte systemet.  Adobe anbefaler at brukerne oppdaterer produktinstallasjonene til de nyeste versjonene:

  • Brukere av Adobe Reader XI (11.0.10) og tidligere versjoner bør oppdatere til versjon 11.0.11.

  • Brukere av Adobe Reader X (10.1.13) og tidligere versjoner bør oppdatere til versjon 10.1.14.

  • Brukere av Adobe Acrobat XI (11.0.10) og tidligere versjoner bør oppdatere til versjon 11.0.11. 

  • Brukere av Adobe Acrobat X (10.1.13) og tidligere versjoner bør oppdatere til versjon 10.1.14.

Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Disse oppdateringene løser sikkerhetsproblemer med heap-basert bufferoverflyt som kan føre til kjøring av kode (CVE-2014-9160).

Disse oppdateringene løser et problem med bufferoverflyt som kan føre til kjøring av kode (CVE-2015-3048).

Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Disse oppdateringene løser en minnelekkasje (CVE-2015-3058).  

Disse oppdateringene løser forskjellige metoder for å omgå begrensninger for Javascript API-kjøring (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Disse oppdateringene løser et dereferanseproblem med nullpeker som kan føre til et DoS-angrep (Denial-of-service) (CVE-2015-3047). 

Disse oppdateringene gir ytterligere forsterking for å beskytte mot CVE-2014-8452, et sikkerhetsproblem ved håndteringen av eksterne XML-entiteter som kan føre til avsløring av informasjon.  

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet: 

  • AbdulAziz Hariri fra HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ fra Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Rapportert anonymt via Beyond Securitys SecuriTeam Secure Disclosure  (CVE-2015-3075)

  • bilou i samarbeid med HP Zero Day Initiative (CVE-2015-3059) 

  • Brian Gorenc fra HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein fra HP Zero Day Initiative (CVE-2015-3069) 

  • instruder fra Alibaba Security Research Team (CVE-2015-3070) 

  • lokihardt@asrt i samarbeid med HPs Zero Day Initiative (CVE-2015-3074)

  • Mateusz Jurczyk fra Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk fra Google Project Zero, og Gynvael Coldwind fra Google Security Team (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun i samarbeid med HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, Wu Hongjun og Wang Jing fra Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei og Wu Hongjun fra Nanyang Technological University (CVE-2015-3046)

  • Xiaoning Li fra Intel Labs og  Haifei Li fra McAfee Labs IPS Team (CVE-2015-3048)