Atualizações de Segurança disponíveis para o Adobe Reader e o Acrobat

Data de lançamento: 9 de dezembro de 2014

Identificador de vulnerabilidade: APSB14-28

Prioridade: Consulte a tabela abaixo

Números de CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plataformas: Windows e Macintosh

Resumo

A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.   A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:

  • Os usuários do Adobe Reader XI (11.0.09) e versões anteriores devem atualizar para a versão 11.0.10.
  • Os usuários do Adobe Reader X (10.1.12) e versões anteriores devem atualizar para a versão 10.1.13.
  • Os usuários do Adobe Acrobat XI (11.0.09) e versões anteriores devem atualizar para a versão 11.0.10.
  • Os usuários do Adobe Acrobat X (10.1.12) e versões anteriores devem atualizar para a versão 10.1.13.

Versões de software afetadas

  • Adobe Reader XI (11.0.09) e versões 11.x anteriores
  • Adobe Reader X (10.1.12) e versões 10.x anteriores
  • Adobe Acrobat XI (11.0.09) e versões 11.x anteriores
  • Adobe Acrobat X (10.1.12) e versões 10.x anteriores

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:

Adobe Reader

O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.

Usuários do Adobe Reader em Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Usuários do Adobe Reader em Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.

Usuários do Acrobat Standard e Pro no Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Usuários do Acrobat Pro no Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Classificações de prioridade e severidade

A Adobe classifica essas atualizações com as seguintes prioridades e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versão atualizada Plataforma Classificação de prioridade
Adobe Reader 11.0.10
Windows e Macintosh
1
  10.1.13
Windows e Macintosh 1
       
Adobe Acrobat 11.0.10
Windows e Macintosh
1
  10.1.13
Windows e Macintosh
1

Essas atualizações corrigem vulnerabilidades críticas no software.

Detalhes

A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.   A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:

  • Os usuários do Adobe Reader XI (11.0.09) e versões anteriores devem atualizar para a versão 11.0.10.
  • Os usuários do Adobe Reader X (10.1.12) e versões anteriores devem atualizar para a versão 10.1.13.
  • Os usuários do Adobe Acrobat XI (11.0.09) e versões anteriores devem atualizar para a versão 11.0.10.
  • Os usuários do Adobe Acrobat X (10.1.12) e versões anteriores devem atualizar para a versão 10.1.13.

Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Essas atualizações resolvem vulnerabilidades de estouro de buffer baseadas em heap que poderiam levar à execução de código (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Essas atualizações resolvem uma vulnerabilidade de estouro de integridade que pode levar à execução de código (CVE-2014-8449).

Essas atualizações resolvem vulnerabilidades de corrupção de memória que poderiam levar à execução de código (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Essas atualizações resolvem uma condição de corrente de TOCTOU (hora de verificação, hora de uso) que poderia ser explorada para permitir acesso de gravação arbitrário ao sistema de arquivos (CVE-2014-9150).

Essas atualizações resolvem uma implementação inadequada de um API de JavaScript que poderia levar à divulgação de informações (CVE-2014-8448, CVE-2014-8451).

Essas atualizações corrigem uma vulnerabilidade na manipulação de entidades externas XML que poderia causar a divulgação de informações (CVE-2014-8452).

Essas atualizações resolvem vulnerabilidades que poderiam ser exploradas para contornar a política de mesma origem (CVE-2014-8453).  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Alex Inführ da Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari da Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher e Dan Caselden da FireEye (CVE-2014-8454)
  • Jack Tang da Trend Micro (CVE-2014-8447)
  • James Forshaw do Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk do Projeto Zero da Google e Gynvael Coldwind da Equipe de Segurança da Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro da Agile Information Security (CVE-2014-8449)
  • Wei Lei e Wu Hongjun da Universidade Tecnológica de Nanyang (-8445, CVE-2014-, CVE-2014-9165)