Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe Reader și Acrobat

Data lansării: 16 septembrie 2014

Identificator vulnerabilitate: APSB14-20

Prioritate: Consultați tabelul de mai jos

Numere CVE: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Platformă: Windows și Macintosh

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Reader și Acrobat pentru Windows și Macintosh. Aceste actualizări corectează vulnerabilități care pot permite unui atacator să preia sistemul afectat. Adobe recomandă utilizatorilor să își actualizeze produsele instalate la cele mai recente versiuni:

  • Utilizatorii Adobe Reader XI (11.0.08) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.09.
  • Pentru utilizatorii Adobe Reader X (10.1.11) și ai versiunilor anterioare, care nu pot efectua actualizarea la versiunea 11.0.09, Adobe a pus la dispoziție versiunea 10.1.12.
  • Utilizatorii Adobe Acrobat XI (11.0.08) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.09.
  • Pentru utilizatorii Adobe Acrobat X (10.1.11) și ai versiunilor anterioare, care nu pot efectua actualizarea la versiunea 11.0.09, Adobe a pus la dispoziție versiunea 10.1.12.

Versiuni de software afectate

  • Adobe Reader XI (11.0.08) şi versiunile anterioare 11.x pentru Windows
  • Adobe Reader XI (11.0.07) şi versiunile anterioare 11.x pentru Macintosh
  • Adobe Reader X (10.1.11) şi versiunile anterioare 10.x pentru Windows
  • Adobe Reader X (10.1.10) şi versiunile anterioare 10.x pentru Macintosh
  • Adobe Acrobat XI (11.0.08) şi versiunile anterioare 11.x pentru Windows
  • Adobe Acrobat XI (11.0.07) și versiunile anterioare 11.x pentru Macintosh
  • Adobe Acrobat X (10.1.11) şi versiunile anterioare 10.x pentru Windows
  • Adobe Acrobat X (10.1.10) și versiunile anterioare 10.x pentru Macintosh

Soluție

Adobe recomandă utilizatorilor să actualizeze software-urile instalate prin urmarea instrucțiunilor de mai jos:

Adobe Reader

Mecanismul de actualizare implicită a produsului este setat să execute regulat verificări automate de actualizări. Verificările de actualizări pot fi activate manual, selectând Asistență > Căutare actualizări.

Utilizatorii de Adobe Reader sub Windows pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Utilizatorii de Adobe Reader sub Macintosh pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Mecanismul de actualizare implicită a produsului este setat să execute regulat verificări automate de actualizări. Verificările de actualizări pot fi activate manual, selectând Asistență > Căutare actualizări.

Utilizatorii Acrobat Standard și Pro pentru Windows pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Utilizatorii Acrobat Pro pentru Macintosh pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Evaluări ale priorității și gravității

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și le recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs Versiune actualizată Platformă Evaluare a priorității
Adobe Reader XI 11.0.09
Windows și Macintosh
1
Adobe Reader X 10.1.12
Windows și Macintosh 1
Adobe Acrobat XI 11.0.09
Windows și Macintosh
1
Adobe Acrobat X
10.1.12
Windows și Macintosh
1

Aceste actualizări remediază vulnerabilități critice din software.

Detalii

Adobe a lansat actualizări de securitate pentru Adobe Reader și Acrobat pentru Windows și Macintosh. Aceste actualizări corectează vulnerabilități care pot permite unui atacator să preia sistemul afectat. Adobe recomandă utilizatorilor să își actualizeze produsele instalate la cele mai recente versiuni:

  • Utilizatorii Adobe Reader XI (11.0.08) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.09.
  • Pentru utilizatorii Adobe Reader X (10.1.11) și ai versiunilor anterioare, care nu pot efectua actualizarea la versiunea 11.0.09, Adobe a pus la dispoziție versiunea 10.1.12.
  • Utilizatorii Adobe Acrobat XI (11.0.08) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.09.
  • Pentru utilizatorii Adobe Acrobat X (10.1.11) și ai versiunilor anterioare, care nu pot efectua actualizarea la versiunea 11.0.09, Adobe a pus la dispoziție versiunea 10.1.12.

Aceste actualizări remediază o vulnerabilitate de folosire după dealocare care poate duce la executare de cod (CVE-2014-0560).

Aceste actualizări remediază o vulnerabilitate universală de scriptare între site-uri (UXSS) în Reader și Acrobat pe platforma Macintosh (CVE-2014-0562).

Aceste actualizări remediază o vulnerabilitate potențială de refuzare a serviciului (DoS) legată de coruperea memoriei (CVE-2014-0563).

Aceste actualizări remediază o vulnerabilitate de depășire a memoriei heap care poate duce la executare de cod (CVE-2014-0561, CVE-2014-0567).

Aceste actualizări remediază vulnerabilități de corupere a memoriei care pot duce la executare de cod (CVE-2014-0565, CVE-2014-0566).

Aceste actualizări remediază o vulnerabilitate de ocolire a protecției sandbox, care ar putea fi exploatată pentru a executa cod nativ cu privilegii sporite în Windows (CVE-2014-0568).

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Wei Lei și Wu Hongjun de la Universitatea Tehnologică Nanyang, care colaborează cu Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris, care colaborează cu HP Zero Day Initiative (CVE-2014-0561)
  • Frans Rosen de la Detectify (CVE-2014-0562)
  • Wei Lei și Wu Hongjun de la Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Raportare anonimă prin HP Zero Day Initiative (CVE-2014-0567)
  • James Forshaw de la Google Project Zero (CVE-2014-0568)