Dostępne aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat

Data wydania: 12 maja 2015

Identyfikator luki: APSB15-10

Priorytet: Patrz tabela poniżej

Numery CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Platforma: Windows i Macintosh

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują.   Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji: 

  • Użytkownicy programu Adobe Reader XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11. 

  • Użytkownicy programu Adobe Reader X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14. 

  • Użytkownicy programu Adobe Acrobat XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11. 

  • Użytkownicy programu Adobe Acrobat X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.

Zagrożone wersje oprogramowania

  • Adobe Reader XI (11.0.10) i starsze wersje 11.x 

  • Adobe Reader X (10.1.13) i starsze wersje 10.x  

  • Adobe Acrobat XI (11.0.10) i starsze wersje 11.x  

  • Adobe Acrobat X (10.1.13) i starsze wersje 10.x

Uwaga: numery CVE z tego biuletynu nie dotyczą programu Adobe Acrobat Reader DC.

 

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:

Adobe Reader

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Adobe Reader dla systemu Windows mogą także znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Użytkownicy programu Adobe Reader dla systemu Mac OS X mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Domyślny mechanizm aktualizacji produktu przewiduje automatyczne i regularne sprawdzenie dostępności aktualizacji. Funkcję tę można wywołać ręcznie, wybierając opcję Pomoc > Sprawdź aktualizacje.

Użytkownicy programu Acrobat Standard i Pro dla systemu Windows mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Użytkownicy programu Acrobat Pro dla komputerów Macintosh mogą znaleźć odpowiednią aktualizację pod adresem http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Oceny priorytetów i ważności

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom aktualizację posiadanych instalacji do najnowszych wersji:

Produkt Zaktualizowana wersja Platforma Ocena priorytetu
Adobe Reader 11.0.11
Windows i Macintosh
1
  10.1.14
Windows i Macintosh 1
       
Adobe Acrobat 11.0.11 Windows i Macintosh 1
  10.1.14 Windows i Macintosh 1

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.

Szczegóły

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Reader i Acrobat dla systemów Windows i Macintosh. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie systemu, w którym występują.   Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

  • Użytkownicy programu Adobe Reader XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11.

  • Użytkownicy programu Adobe Reader X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.

  • Użytkownicy programu Adobe Acrobat XI (11.0.10) i starszych wersji powinni przeprowadzić aktualizację do wersji 11.0.11. 

  • Użytkownicy programu Adobe Acrobat X (10.1.13) i starszych wersji powinni przeprowadzić aktualizację do wersji 10.1.14.

Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobów po ich zwolnieniu, która może spowodować wykonanie kodu (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2014-9160).

Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu bufora, która może spowodować wykonanie kodu (CVE-2015-3048).

Te aktualizacje usuwają luki w zabezpieczeniach powodujące uszkodzenie zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Te aktualizacje usuwają przeciek pamięci (CVE-2015-3058).  

Te aktualizacje zapobiegają zastosowaniu różnych metod ominięcia ograniczeń wykonywania skryptów API Javascript (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na zmianie wartości wyłuskiwanego wskaźnika na NULL (pusty), która może prowadzić do odmowy usługi (CVE-2015-3047). 

Te aktualizacje zapewniają dodatkową ochronę przed luką CVE-2014-8452 w zabezpieczeniach obsługi zewnętrznych jednostek XML, która może prowadzić do ujawnienia informacji.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów: 

  • Abdul Aziz Hariri z projektu HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ z Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Zgłoszenie anonimowe za pośrednictwem programu SecuriTeam Secure Disclosure Beyond Security (CVE-2015-3075) 

  • bilou, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3059) 

  • Brian Gorenc, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3069) 

  • instruder z zespołu Alibaba Security Research Team (CVE-2015-3070) 

  • lokihardt@asrt współpracujący z Zero Day Initiative firmy HP (CVE-2015-3074) 

  • Mateusz Jurczyk z projektu Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk z projektu Google Project Zero oraz Gynvael Coldwind z zespołu Google Security Team (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun, pracujący w ramach programu HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, a także Wu Hongjun i Wang Jing z Politechniki Nanyang (CVE-2015-3047) 

  • Wei Lei oraz Wu Hongjun z Politechniki Nanyang (CVE-2015-3046) 

  • Xiaoning Li z Intel Labs oraz Haifei Li z McAfee Labs IPS Team (CVE-2015-3048)