Data wydania: 9 grudnia 2014
Identyfikator luki: APSB14-28
Priorytet: Patrz tabela poniżej
Numery CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Platforma: Windows i Macintosh
Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:
- Użytkownicy programu Adobe Reader XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
- Użytkownicy programu Adobe Reader X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
- Użytkownicy programu Adobe Acrobat XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
- Użytkownicy programu Adobe Acrobat X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
- Adobe Reader XI (11.0.09) i starsze wersje 11.x
- Adobe Reader X (10.1.12) i starsze wersje 10.x
- Adobe Acrobat XI (11.0.09) i starsze wersje 11.x
- Adobe Acrobat X (10.1.12) i starsze wersje 10.x
Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:
Adobe Reader
Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.
Użytkownicy programu Adobe Reader dla systemu Windows mogą znaleźć odpowiednią aktualizację na stronie:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Użytkownicy programu Adobe Reader dla komputerów Macintosh mogą znaleźć odpowiednią aktualizację na stronie: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.
Użytkownicy programu Acrobat Standard i Pro dla systemu Windows mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Użytkownicy programu Acrobat Pro dla systemu Mac OS X mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:
Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.
Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:
- Użytkownicy programu Adobe Reader XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
- Użytkownicy programu Adobe Reader X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
- Użytkownicy programu Adobe Acrobat XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
- Użytkownicy programu Adobe Acrobat X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobów po ich zwolnieniu, która może spowodować wykonanie kodu (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Te aktualizacje usuwają lukę w zabezpieczeniach związaną z przekroczeniem zakresu liczb całkowitych, która może prowadzić do wykonania kodu (CVE-2014-8449).
Te aktualizacje usuwają luki w zabezpieczeniach powodujące uszkodzenie zawartości pamięci, które mogą pozwolić na uruchomienie kodu (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Te aktualizacje usuwają problem znany jako TOCTOU (ang. time-of-check time-of-use) dotyczący warunków wykonania operacji, który może spowodować swobodne przydzielanie praw do zapisu w systemie plików (CVE-2014-9150).
Te aktualizacje rozwiązują problem z nieprawidłową implementacją interfejsów API języka JavaScript, która może prowadzić do ujawnienia informacji (CVE-2014-8448, CVE-2014-8451).
Te aktualizacje usuwają lukę w zabezpieczeniach obsługi zewnętrznych jednostek XML, która może prowadzić do ujawnienia informacji (CVE-2014-8452).
Te aktualizacje usuwają luki w zabezpieczeniach, które mogą zostać wykorzystane do obejścia zasady tożsamego pochodzenia (ang. same-origin policy) (CVE-2014-8453).
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Alex Inführ z firmy Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari z firmy Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher i Dan Caselden z firmy FireEye (CVE-2014-8454)
- Jack Tang z firmy Trend Micro (CVE-2014-8447)
- James Forshaw z zespołu Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk z zespołu Google Project Zero i Gynvael Coldwind z zespołu ds. bezpieczeństwa firmy Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro z firmy Agile Information Security (CVE-2014-8449)
- Wei Lei i Wu Hongjun z Uniwersytetu Technologicznego Nanyang (-8445, CVE-2014-, CVE-2014-9165)