Atualizações de Segurança disponíveis para o Adobe Reader e o Acrobat

Data de lançamento: 12 de maio de 2015

Identificador de vulnerabilidade: APSB15-10

Prioridade: Consulte a tabela abaixo

Números CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Plataformas: Windows e Macintosh

Resumo

A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.   A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes: 

  • Os usuários do Adobe Reader XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11. 

  • Os usuários do Adobe Reader X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14. 

  • Os usuários do Adobe Acrobat XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11. 

  • Os usuários do Adobe Acrobat X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14.

Versões de software afetadas

  • Adobe Reader XI (11.0.10) e versões 11.x anteriores 

  • Adobe Reader X (10.1.13) e versões 10.x anteriores  

  • Adobe Acrobat XI (11.0.10) e versões 11.x anteriores  

  • Adobe Acrobat X (10.1.13) e versões 10.x anteriores

Observação: O Adobe Acrobat Reader DC não é afetado pelas referências de CVE deste boletim.

 

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:

Adobe Reader

O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.

Usuários do Adobe Reader no Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Usuários do Adobe Reader no Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

O mecanismo de atualização padrão do produto é definido para executar verificações automáticas de atualização regularmente. As verificações de atualização podem ser ativadas manualmente. Para isso, selecione Ajuda > Verificar atualizações.

Usuários do Acrobat Standard e Pro no Windows podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Usuários do Acrobat Pro no Macintosh podem encontrar a atualização adequada aqui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Classificações de prioridade e severidade

A Adobe classifica essas atualizações com as seguintes avaliações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versão atualizada Plataforma Classificação de prioridade
Adobe Reader 11.0.11
Windows e Macintosh
1
  10.1.14
Windows e Macintosh 1
       
Adobe Acrobat 11.0.11 Windows e Macintosh 1
  10.1.14 Windows e Macintosh 1

Essas atualizações corrigem vulnerabilidades críticas no software.

Detalhes

A Adobe lançou atualizações de segurança para o Adobe Reader e Acrobat para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.   A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:

  • Os usuários do Adobe Reader XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11.

  • Os usuários do Adobe Reader X (10.1.13) e versões anteriores devem atualizar para a versão 10.1.14.

  • Os usuários do Adobe Acrobat XI (11.0.10) e de versões anteriores devem atualizar para a versão 11.0.11. 

  • Os usuários do Adobe Acrobat X (10.1.13) e de versões anteriores devem atualizar para a versão 10.1.14.

Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Essas atualizações resolvem vulnerabilidades de estouro de buffer baseadas em heap que poderiam levar à execução de código (CVE-2014-9160).

Essas atualizações resolvem uma vulnerabilidade de estouro de buffer de que pode levar a uma execução de código (CVE-2015-3048).

Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Essas atualizações resolvem um vazamento de memória (CVE-2015-3058).  

Essas atualizações resolvem vários métodos para ignorar restrições na execução de API de JavaScript (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Essas atualizações resolvem um problema de não referência a um ponteiro ulo que pode levar a uma condição de negação de serviço (CVE-2015-3047). 

Essas atualizações fornecem proteção adicional contra a CVE-2014-8452, uma vulnerabilidade no manuseio de entidades externas de XML, que poderia levar à divulgação de informações.  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:

  • instruder da Alibaba Security Research Team (CVE-2015-3070) 

  • lokihardt@asrt que trabalha com a Zero Day Initiative da HP (CVE-2015-3074)

  • Mateusz Jurczyk do Project Zero da Google (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk do Project Zero da Google e Gynvael Coldwind da Equipe de segurança da Google (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun que trabalha com a HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, Wu Hongjun e Wang Jing da Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei e Wu Hongjun da Nanyang Technological University (CVE-2015-3046) 

  • Xiaoning Li da Intel Labs e Haifei Li da Equipe de IPS da McAfee Labs (CVE-2015-3048)