Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe Reader și Acrobat

Data lansării: 9 decembrie 2014

Identificator vulnerabilitate: APSB14-28

Prioritate: Consultați tabelul de mai jos

Numere CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platformă: Windows și Macintosh

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Reader și Acrobat pentru Windows și Macintosh. Aceste actualizări corectează vulnerabilități care pot permite unui atacator să preia sistemul afectat.  Adobe recomandă utilizatorilor să își actualizeze produsele instalate la cele mai recente versiuni:

  • Utilizatorii Adobe Reader XI (11.0.09) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.10.
  • Utilizatorii Adobe Reader X (10.1.12) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 10.1.13.
  • Utilizatorii Adobe Acrobat XI (11.0.09) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.10.
  • Utilizatorii Adobe Acrobat X (10.1.12) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 10.1.13.

Versiuni de software afectate

  • Adobe Reader XI (11.0.09) şi versiunile anterioare 11.x
  • Adobe Reader X (10.1.12) şi versiunile anterioare 10.x
  • Adobe Acrobat XI (11.0.09) şi versiunile anterioare 11.x
  • Adobe Acrobat X (10.1.12) şi versiunile anterioare 10.x

Soluție

Adobe recomandă utilizatorilor să actualizeze software-urile instalate prin urmarea instrucțiunilor de mai jos:

Adobe Reader

Mecanismul de actualizare implicită a produsului este setat să execute regulat verificări automate de actualizări. Verificările de actualizări pot fi activate manual, selectând Asistență > Căutare actualizări.

Utilizatorii de Adobe Reader sub Windows pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Utilizatorii de Adobe Reader sub Macintosh pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Mecanismul de actualizare implicită a produsului este setat să execute regulat verificări automate de actualizări. Verificările de actualizări pot fi activate manual, selectând Asistență > Căutare actualizări.

Utilizatorii Acrobat Standard și Pro pentru Windows pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Utilizatorii Acrobat Pro pentru Macintosh pot găsi actualizarea corespunzătoare aici: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Evaluări ale priorității și gravității

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs Versiune actualizată Platformă Evaluare a priorității
Adobe Reader 11.0.10
Windows și Macintosh
1
  10.1.13
Windows și Macintosh 1
       
Adobe Acrobat 11.0.10
Windows și Macintosh
1
  10.1.13
Windows și Macintosh
1

Aceste actualizări remediază vulnerabilități critice din software.

Detalii

Adobe a lansat actualizări de securitate pentru Adobe Reader și Acrobat pentru Windows și Macintosh. Aceste actualizări corectează vulnerabilități care pot permite unui atacator să preia sistemul afectat.  Adobe recomandă utilizatorilor să își actualizeze produsele instalate la cele mai recente versiuni:

  • Utilizatorii Adobe Reader XI (11.0.09) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.10.
  • Utilizatorii Adobe Reader X (10.1.12) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 10.1.13.
  • Utilizatorii Adobe Acrobat XI (11.0.09) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 11.0.10.
  • Utilizatorii Adobe Acrobat X (10.1.12) și ai versiunilor anterioare trebuie să efectueze actualizarea la versiunea 10.1.13.

Aceste actualizări remediază vulnerabilități de folosire după dezalocare care pot duce la executare de cod (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Aceste actualizări remediază vulnerabilități de depășire a memoriei tampon bazate pe heap, care pot duce la executare de cod (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Aceste actualizări rezolvă o vulnerabilitate de depășire a valorilor întregi care poate duce la executare de cod (CVE-2014-8449).

Aceste actualizări remediază vulnerabilități de corupere a memoriei care pot duce la executare de cod (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Aceste actualizări remediază o condiţie de rulare time-of-check time-of-use (TOCTOU) (ora verificării - ora utilizării), care ar putea fi exploatată pentru a permite acces arbitrar la scriere în sistemul de fişiere (CVE-2014-9150).

Aceste actualizări remediază o implementare incorectă a unui API Javascript care ar putea duce la divulgarea de informaţii (CVE-2014-8448, CVE-2014-8451).

Aceste actualizări remediază o vulnerabilitate privind gestionarea entităţilor externe XML, care poate duce la divulgarea de informații (CVE-2014-8452).

Aceste actualizări remediază vulnerabilităţi care ar putea fi exploatate pentru a evita politica cu privire la aceeași origine (CVE-2014-8453).  

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Alex Inführ de la Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari de la Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher şi Dan Caselden de la FireEye (CVE-2014-8454)
  • Jack Tang de la Trend Micro (CVE-2014-8447)
  • James Forshaw de la Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk de la Google Project Zero şi Gynvael Coldwind din Echipa de securitate Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro de la Agile Information Security (CVE-2014-8449)
  • Wei Lei și Wu Hongjun de la Universitatea Tehnologică Nanyang (CVE-2014-8445, CVE-2014-9165)