Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat

Data wydania: 16 września 2014

Identyfikator luki: APSB14-20

Priorytet: Patrz tabela poniżej

Numery CVE: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Platforma: Windows i Macintosh

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

  • Użytkownicy programu Adobe Reader XI (11.0.08) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.09.
  • Użytkownikom programu Adobe Reader X (10.1.11) i starszych wersji, którzy nie mogą przeprowadzić aktualizacji do wersji 11.0.09, firma Adobe udostępniła aktualizację do wersji 10.1.12.
  • Użytkownicy programu Adobe Acrobat XI (11.0.08) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.09.
  • Użytkownikom programu Adobe Acrobat X (10.1.11) i starszych wersji, którzy nie mogą przeprowadzić aktualizacji do wersji 11.0.09, firma Adobe udostępniła aktualizację do wersji 10.1.12.

Zagrożone wersje oprogramowania

  • Adobe Reader XI (11.0.08) i starsze wersje 11.x dla systemu Windows
  • Adobe Reader XI (11.0.07) i starsze wersje 11.x dla systemu Macintosh
  • Adobe Reader X (10.1.11) i starsze wersje 10.x dla systemu Windows
  • Adobe Reader X (10.1.10) i starsze wersje 10.x dla systemu Macintosh
  • Adobe Acrobat XI 11.0.08 i starsze wersje 11.x dla systemu Windows
  • Adobe Acrobat XI (11.0.07) i starsze wersje 11.x dla systemu Macintosh
  • Adobe Acrobat X (10.1.11) i starsze wersje 10.x dla systemu Windows
  • Adobe Acrobat X (10.1.10) i starsze wersje 10.x dla systemu Macintosh

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:

Adobe Reader

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Adobe Reader dla systemu Windows mogą znaleźć odpowiednią aktualizację na stronie:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Użytkownicy programu Adobe Reader dla komputerów Macintosh mogą znaleźć odpowiednią aktualizację na stronie: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Acrobat Standard i Pro dla systemu Windows mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Użytkownicy programu Acrobat Pro dla systemu Mac OS X mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Oceny priorytetów i ważności

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:

Produkt Zaktualizowana wersja Platforma Ocena priorytetu
Adobe Reader XI 11.0.09
Windows i Macintosh
1
Adobe Reader X 10.1.12
Windows i Macintosh 1
Adobe Acrobat XI 11.0.09
Windows i Macintosh
1
Adobe Acrobat X
10.1.12
Windows i Macintosh
1

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.

Szczegóły

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

  • Użytkownicy programu Adobe Reader XI (11.0.08) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.09.
  • Użytkownikom programu Adobe Reader X (10.1.11) i starszych wersji, którzy nie mogą przeprowadzić aktualizacji do wersji 11.0.09, firma Adobe udostępniła aktualizację do wersji 10.1.12.
  • Użytkownicy programu Adobe Acrobat XI (11.0.08) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.09.
  • Użytkownikom programu Adobe Acrobat X (10.1.11) i starszych wersji, którzy nie mogą przeprowadzić aktualizacji do wersji 11.0.09, firma Adobe udostępniła aktualizację do wersji 10.1.12.

Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobu po zwolnieniu, która może spowodować wykonanie kodu (CVE-2014-0560).

Te aktualizacje usuwają lukę umożliwiającą ataki typu UXSS (universal cross-site scripting) w programach Reader i Acrobat na platformie Macintosh (CVE-2014-0562).

Te aktualizacje usuwają lukę umożliwiającą potencjalne ataki typu DoS (denial-of-service) związane z uszkodzeniem zawartości pamięci (CVE-2014-0563).

Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu sterty, która może spowodować wykonanie kodu (CVE-2014-0561, CVE-2014-0567).

Te aktualizacje usuwają luki w zabezpieczeniach polegające na uszkadzaniu zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2014-0565, CVE-2014-0566).

Te aktualizacje usuwają lukę dotyczącą obejścia piaskownicy, która może zostać wykorzystana do uruchomienia kodu natywnego z eskalowanymi uprawnieniami w systemie Windows (CVE-2014-0568).

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Wei Lei i Wu Hongjun z Uniwersytetu Technologicznego Nanyang we współpracy z firmą Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris we współpracy z programem Zero Day Initiative firmy HP (CVE-2014-0561)
  • Frans Rosen z firmy Detectify (CVE-2014-0562)
  • Wei Lei i Wu Hongjun z Uniwersytetu Technologicznego Nanyang (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Anonimowy użytkownik w ramach programu Zero Day Initiative firmy HP (CVE-2014-0567)
  • James Forshaw z zespołu Google Project Zero (CVE-2014-0568)