Dostępne aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat

Data wydania: 9 grudnia 2014

Identyfikator luki: APSB14-28

Priorytet: Patrz tabela poniżej

Numery CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platforma: Windows i Macintosh

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują.   Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

  • Użytkownicy programu Adobe Reader XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
  • Użytkownicy programu Adobe Reader X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
  • Użytkownicy programu Adobe Acrobat XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
  • Użytkownicy programu Adobe Acrobat X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.

Zagrożone wersje oprogramowania

  • Adobe Reader XI (11.0.09) i starsze wersje 11.x
  • Adobe Reader X (10.1.12) i starsze wersje 10.x
  • Adobe Acrobat XI (11.0.09) i starsze wersje 11.x
  • Adobe Acrobat X (10.1.12) i starsze wersje 10.x

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:

Adobe Reader

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Adobe Reader dla systemu Windows mogą znaleźć odpowiednią aktualizację na stronie:http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Użytkownicy programu Adobe Reader dla komputerów Macintosh mogą znaleźć odpowiednią aktualizację na stronie: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Acrobat Standard i Pro dla systemu Windows mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Użytkownicy programu Acrobat Pro dla systemu Mac OS X mogą znaleźć odpowiednią aktualizację pod adresem: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Oceny priorytetów i ważności

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:

Produkt Zaktualizowana wersja Platforma Ocena priorytetu
Adobe Reader 11.0.10
Windows i Macintosh
1
  10.1.13
Windows i Macintosh 1
       
Adobe Acrobat 11.0.10
Windows i Macintosh
1
  10.1.13
Windows i Macintosh
1

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.

Szczegóły

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują.   Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

  • Użytkownicy programu Adobe Reader XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
  • Użytkownicy programu Adobe Reader X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.
  • Użytkownicy programu Adobe Acrobat XI (11.0.09) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.10.
  • Użytkownicy programu Adobe Acrobat X (10.1.12) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.13.

Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobów po ich zwolnieniu, która może spowodować wykonanie kodu (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Te aktualizacje usuwają lukę w zabezpieczeniach związaną z przekroczeniem zakresu liczb całkowitych, która może prowadzić do wykonania kodu (CVE-2014-8449).

Te aktualizacje usuwają luki w zabezpieczeniach powodujące uszkodzenie zawartości pamięci, które mogą pozwolić na uruchomienie kodu (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Te aktualizacje usuwają problem znany jako TOCTOU (ang. time-of-check time-of-use) dotyczący warunków wykonania operacji, który może spowodować swobodne przydzielanie praw do zapisu w systemie plików (CVE-2014-9150).

Te aktualizacje rozwiązują problem z nieprawidłową implementacją interfejsów API języka JavaScript, która może prowadzić do ujawnienia informacji (CVE-2014-8448, CVE-2014-8451).

Te aktualizacje usuwają lukę w zabezpieczeniach obsługi zewnętrznych jednostek XML, która może prowadzić do ujawnienia informacji (CVE-2014-8452).

Te aktualizacje usuwają luki w zabezpieczeniach, które mogą zostać wykorzystane do obejścia zasady tożsamego pochodzenia (ang. same-origin policy) (CVE-2014-8453).  

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Alex Inführ z firmy Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari z firmy Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher i Dan Caselden z firmy FireEye (CVE-2014-8454)
  • Jack Tang z firmy Trend Micro (CVE-2014-8447)
  • James Forshaw z zespołu Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk z zespołu Google Project Zero i Gynvael Coldwind z zespołu ds. bezpieczeństwa firmy Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro z firmy Agile Information Security (CVE-2014-8449)
  • Wei Lei i Wu Hongjun z Uniwersytetu Technologicznego Nanyang (-8445, CVE-2014-, CVE-2014-9165)