Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader

Utgivelsesdato: 13. oktober 2015

Sist oppdatert: 11. desember 2015

Sikkerhetsproblemidentifikator: APSB15-24

Prioritet: Se tabellen nedenfor

CVE-numre: CVE-2015-5583, CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6685, CVE-2015-6686, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-6691, CVE-2015-6692, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6696, CVE-2015-6697, CVE-2015-6698, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6705, CVE-2015-6706, CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7614, CVE-2015-7615, CVE-2015-7616, CVE-2015-7617, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7621, CVE-2015-7622, CVE-2015-7623, CVE-2015-7624, CVE-2015-7650, CVE-2015-8458

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC Kontinuerlig 2015.008.20082 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Kontinuerlig 2015.008.20082 og tidligere versjoner
Windows og Macintosh
       
Acrobat DC Klassisk 2015.006.30060 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Klassisk 2015.006.30060 og tidligere versjoner
Windows og Macintosh
       
Acrobat XI Datamaskin 11.0.12 og tidligere versjoner Windows og Macintosh
Reader XI Datamaskin 11.0.12 og tidligere versjoner Windows og Macintosh
       
Acrobat X Datamaskin 10.1.15 og tidligere versjoner Windows og Macintosh
Reader X Datamaskin 10.1.15 og tidligere versjoner Windows og Macintosh

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC. Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor:

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder:

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer.
  • Produktene vil oppdateres automatisk når oppdateringer oppdages, uten at det krever brukermedvirkning. 
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader.

For IT-administratorer (administrerte miljøer): 

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på Macintosh, Apple Remote Desktop og SSH.
Produkt Track Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Kontinuerlig 2015.009.20069
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC Kontinuerlig 2015.009.20069
Windows og Macintosh 2 Nedlastingssenter
           
Acrobat DC Klassisk 2015.006.30094
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC Klassisk 2015.006.30094
Windows og Macintosh 2 Windows
Macintosh
           
Acrobat XI Datamaskin 11.0.13 Windows og Macintosh 2 Windows
Macintosh
Reader XI Datamaskin 11.0.13 Windows og Macintosh 2 Windows
Macintosh
           
Acrobat X Datamaskin 10.1.16 Windows og Macintosh 2 Windows
Macintosh
Reader X Datamaskin 10.1.16 Windows og Macintosh 2 Windows
Macintosh

Mer informasjon om sikkerhetsproblemet

  • Disse oppdateringene løser et sikkerhetsproblem med bufferoverflyt som kan føre til avsløring av informasjon (CVE-2015-6692).
  • Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683).
  • Disse oppdateringene løser sikkerhetsproblemer med heap-bufferoverflyt som kan føre til kjøring av kode (CVE-2015-6696, CVE-2015-6698, CVE-2015-8458).
  • Disse oppdateringene løser sikkerhetsproblemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6686, CVE-2015-7622, CVE-2015-7650).
  • Disse oppdateringene løser et sikkerhetsproblem med minnelekkasje (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697).
  • Disse oppdateringene løser et problem med sikkerhetsomgåelse som kan føre til avsløring av informasjon (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624).
  • Disse oppdateringene løser forskjellige metoder for å omgå begrensninger for Javascript API-kjøring (CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7623, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • AbdulAziz Hariri fra HP Zero Day Initiative (CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6697, CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6707)
  • AbdulAziz Hariri og Jasiel Spelman fra HP Zero Day Initiative (CVE-2015-5583, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704)
  • Alex Inführ fra Cure53.de (CVE-2015-6705, CVE-2015-6706)
  • Bill Finlayson fra Vectra Networks (CVE-2015-6687)
  • bilou i samarbeid med VeriSign iDefense Labs (CVE-2015-6684)
  • Brian Gorenc fra HP Zero Day Initiative (CVE-2015-6686)
  • Francis Provencher fra COSIG (CVE-2015-7622)
  • Jaanus Kp fra Clarified Security i samarbeid med HP Zero Day Initiative (CVE-2015-6696, CVE-2015-6698)
  • Jack Tang fra TrendMicro (CVE-2015-6692)
  • James Loureiro fra MWR Labs (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • kdot i samarbeid med HPs Zero Day Initiative (CVE-2015-7621, CVE-2015-7650)
  • Matt Molinyawe og Jasiel Spelman fra HPs Zero Day Initiative (CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620)
  • Matt Molinyawe fra HP Zero Day Initiative (CVE-2015-7623)
  • WanderingGlitch fra HPs Zero Day Initiative (CVE-2015-6713, CVE-2015-6714, CVE-2015-6715)
  • Wei Lei og Wu Hongjun fra Nanyang Technological University (--2015-, CVE-5586)
  • Wei Lei og Wu Hongjun fra Nanyang Technological University i samarbeid med Verisign iDefense Labs (CVE-2015-6683)
  • AbdulAziz Hariri og Jasiel Spelman fra HP Zero Day Initiative for defense-in-depth-bidrag
  • Fritz Sands i samarbeid med HPs Zero Day Initiative (CVE-2015-8458)

Revisjoner

14. oktober 2015: Korrigerte feilaktige CVE-detaljer og anerkjennelser

29. oktober 2015: Lagt til en referanse til CVE-2015-7829, som ble rapportert tom et sikkerhetsproblem i Acrobat og Reader. men løst via en sikkerhetsoppdatering i Windows, referert i MS15-090.  Også lagt til en referanse til CVE-2015-7650 som ble løst i versjonen av Acrobat og Reader som ble utgitt 13. oktober, men som utilsiktet ble utelatt fra bulletinene. 

11. desember 2015: Lagt til en referanse til CVE-2015-8458 som ble løst i versjonen av Acrobat og Reader som ble utgitt 13. oktober, men som utilsiktet ble utelatt fra bulletinene.