Atualizações de Segurança disponíveis para o Adobe Reader e o Acrobat
Data de lançamento: 12 de maio de 2015
Identificador de vulnerabilidade: APSB15-10
Prioridade: Consulte a tabela abaixo
Números CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Plataformas: Windows e Macintosh
Resumo
A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado. A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:
Os usuários do Adobe Reader XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11.
Os usuários do Adobe Reader X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14.
Os usuários do Adobe Acrobat XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11.
Os usuários do Adobe Acrobat X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14.
Versões de software afetadas
Adobe Reader XI (11.0.10) e versões 11.x anteriores
Adobe Reader X (10.1.13) e versões 10.x anteriores
Adobe Acrobat XI (11.0.10) e versões 11.x anteriores
- Adobe Acrobat X (10.1.13) e versões 10.x anteriores
Observação: O Adobe Acrobat Reader não é afetado pelas referências de CVE deste boletim.
Solução
A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:
Adobe Reader
O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.
Usuários do Adobe Reader no Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Usuários do Adobe Reader no Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.
Usuários do Acrobat Standard e Pro no Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Usuários do Acrobat Pro no Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Classificações de prioridade e severidade
A Adobe classifica essas atualizações com as seguintes avaliações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Versão atualizada |
Plataforma |
Classificação de prioridade |
|
|
Adobe Reader |
11.0.11 |
Windows e Macintosh |
1 |
|
|
10.1.14 |
Windows e Macintosh |
1 |
|
|
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows e Macintosh |
1 |
|
|
10.1.14 |
Windows e Macintosh |
1 |
Essas atualizações corrigem vulnerabilidades críticas no software.
Detalhes
A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado. A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:
Os usuários do Adobe Reader XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11.
Os usuários do Adobe Reader X (10.1.13) e versões anteriores devem atualizar para a versão 10.1.14.
Os usuários do Adobe Acrobat XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11.
Os usuários do Adobe Acrobat X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14.
Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
Essas atualizações resolvem vulnerabilidades de estouro de buffer baseadas em heap que poderiam levar à execução de código (CVE-2014-9160).
Essas atualizações resolvem uma vulnerabilidade de estouro de buffer de que pode levar a uma execução de código (CVE-2015-3048).
Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076).
Essas atualizações resolvem um vazamento de memória (CVE-2015-3058).
Essas atualizações resolvem vários métodos para ignorar restrições na execução de API de JavaScript (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
Essas atualizações resolvem um problema de não referência a um ponteiro ulo que pode levar a uma condição de negação de serviço (CVE-2015-3047).
Essas atualizações fornecem proteção adicional contra a CVE-2014-8452, uma vulnerabilidade no manuseio de entidades externas de XML, que poderia levar à divulgação de informações.
Agradecimentos
A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:
AbdulAziz Hariri da Zero Day Initiative da HP (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Alex Inführ da Cure53.de (CVE-2014-8452, CVE-2015-3076)
Relatado anonimamente pela SecuriTeam Secure Disclosure da Beyond Security (CVE-2015-3075)
bilou que trabalha com a HP Zero Day Initiative (CVE-2015-3059)
Brian Gorenc da Zero Day Initiative da HP (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
Dave Weinstein da Zero Day Initiative da HP (CVE-2015-3069)
instruder da Alibaba Security Research Team (CVE-2015-3070)
lokihardt@asrt que trabalha com a Zero Day Initiative da HP (CVE-2015-3074)
Mateusz Jurczyk do Project Zero da Google (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Mateusz Jurczyk do Project Zero da Google e Gynvael Coldwind da Equipe de segurança da Google (CVE-2014-9160, CVE-2014-9161)
Simon Zuckerbraun que trabalha com a HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062)
Wei Lei, Wu Hongjun e Wang Jing da Nanyang Technological University (CVE-2015-3047)
Wei Lei e Wu Hongjun da Nanyang Technological University (CVE-2015-3046)
Xiaoning Li da Intel Labs e Haifei Li da Equipe de IPS da McAfee Labs (CVE-2015-3048)
