Dostępne aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat
Data wydania: 12 maja 2015
Identyfikator luki: APSB15-10
Priorytet: Patrz tabela poniżej
Numery CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Platforma: Windows i Macintosh
Podsumowanie
Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:
Użytkownicy programu Adobe Reader XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11.
Użytkownicy programu Adobe Reader X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.
Użytkownicy programu Adobe Acrobat XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11.
Użytkownicy programu Adobe Acrobat X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.
Zagrożone wersje oprogramowania
Adobe Reader XI (11.0.10) i starsze wersje 11.x
Adobe Reader X (10.1.13) i starsze wersje 10.x
Adobe Acrobat XI (11.0.10) i starsze wersje 11.x
- Adobe Acrobat X (10.1.13) i starsze wersje 10.x
Uwaga: numery CVE z tego biuletynu nie dotyczą programu Adobe Acrobat Reader.
Rozwiązanie
Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:
Adobe Reader
Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.
Użytkownicy programu Adobe Reader dla systemu Windows mogą także znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Użytkownicy programu Adobe Reader dla systemu Mac OS X mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.
Użytkownicy programu Acrobat Standard i Pro dla systemu Windows mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Użytkownicy programu Acrobat Pro dla komputerów Macintosh mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Oceny priorytetów i ważności
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:
|
Zaktualizowana wersja |
Platforma |
Ocena priorytetu |
|
|
Adobe Reader |
11.0.11 |
Windows i Macintosh |
1 |
|
|
10.1.14 |
Windows i Macintosh |
1 |
|
|
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows i Macintosh |
1 |
|
|
10.1.14 |
Windows i Macintosh |
1 |
Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.
Szczegóły
Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:
Użytkownicy programu Adobe Reader XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11.
Użytkownicy programu Adobe Reader X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.
Użytkownicy programu Adobe Acrobat XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11.
Użytkownicy programu Adobe Acrobat X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.
Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobów po ich zwolnieniu, która może spowodować wykonanie kodu (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2014-9160).
Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu bufora, która może spowodować wykonanie kodu (CVE-2015-3048).
Te aktualizacje usuwają luki w zabezpieczeniach powodujące uszkodzenie zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076).
Te aktualizacje usuwają przeciek pamięci (CVE-2015-3058).
Te aktualizacje zapobiegają zastosowaniu różnych metod ominięcia ograniczeń wykonywania skryptów API Javascript (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na zmianie wartości wyłuskiwanego wskaźnika na NULL (pusty), która może prowadzić do odmowy usługi (CVE-2015-3047).
Te aktualizacje zapewniają dodatkową ochronę przed luką CVE-2014-8452 w zabezpieczeniach obsługi zewnętrznych jednostek XML, która może prowadzić do ujawnienia informacji.
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
Abdul Aziz Hariri z projektu HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Alex Inführ z Cure53.de (CVE-2014-8452, CVE-2015-3076)
Zgłoszenie anonimowe za pośrednictwem programu SecuriTeam Secure Disclosure Beyond Security (CVE-2015-3075)
bilou, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3059)
Brian Gorenc, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
Dave Weinstein, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3069)
instruder z zespołu Alibaba Security Research Team (CVE-2015-3070)
lokihardt@asrt współpracujący z Zero Day Initiative firmy HP (CVE-2015-3074)
Mateusz Jurczyk z projektu Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Mateusz Jurczyk z projektu Google Project Zero oraz Gynvael Coldwind z zespołu Google Security Team (CVE-2014-9160, CVE-2014-9161)
Simon Zuckerbraun, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062)
Wei Lei, a także Wu Hongjun i Wang Jing z Politechniki Nanyang (CVE-2015-3047)
Wei Lei oraz Wu Hongjun z Politechniki Nanyang (CVE-2015-3046)
Xiaoning Li z Intel Labs oraz Haifei Li z McAfee Labs IPS Team (CVE-2015-3048)
