Бюллетень безопасности Adobe

Обновления системы безопасности для Adobe Acrobat и Reader

Дата выпуска: 14 июля 2015 г.

Идентификатор уязвимости: APSB15-15

Приоритет: см. таблицу ниже

Номера CVE:  CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Платформы: Windows и Макинтош

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC Continuous 2015.007.20033
Windows и Macintosh
Acrobat Reader DC Continuous 2015.007.20033
Windows и Macintosh
       
Acrobat DC Classic 2015.006.30033
Windows и Macintosh
Acrobat Reader DC Classic 2015.006.30033
Windows и Macintosh
       
Acrobat XI Нет 11.0.11 и более ранние версии Windows и Macintosh
Acrobat X Нет 10.1.14 и более ранние версии Windows и Macintosh
       
Reader XI Нет 11.0.11 и более ранние версии Windows и Macintosh
Reader X Нет 10.1.14 и более ранние версии Windows и Macintosh

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC. При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.   

Решение

Компания Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий одним из следующих способов.  

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.  
  • При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.  
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.  

Для ИТ-администраторов (в управляемых средах):  

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или воспользуйтесь ссылками на установщики в примечаниях к соответствующей версии.  
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или удаленного рабочего стола Apple и SSH в Macintosh. 
Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 2015.008.20082
Windows и Macintosh 2

Windows

Macintosh

Acrobat Reader DC Continuous 2015.008.20082
Windows и Macintosh 2 Центр загрузки
           
Acrobat DC Classic 2015.006.30060
Windows и Macintosh
2

Windows

Macintosh

Acrobat Reader DC Classic 2015.006.30060
Windows и Macintosh 2

Windows

Macintosh

           
Acrobat XI Нет 11.0.12 Windows и Macintosh 2

Windows

Macintosh

Acrobat X Нет 10.1.15 Windows и Macintosh 2

Windows

Macintosh

           
Reader XI Нет 11.0.12 Windows и Macintosh 2

Windows

Macintosh

Reader X Нет 10.1.15 Windows и Macintosh 2

Windows

Macintosh

Сведения об уязвимости

  • В этих обновлениях устранена уязвимость, связанная с переполнением буфера, которая могла привести к выполнению кода (CVE-2015-5093).  
  • В этих обновлениях исправлены уязвимости, связанные с переполнением буфера, которые могли привести к выполнению кода (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • В этих обновлениях устранены уязвимости, связанные с повреждением памяти, которые могли привести к выполнению кода (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • В этих обновлениях устранена уязвимость утечки информации (CVE-2015-5107).  
  • В этих обновлениях устранены уязвимости обхода системы безопасности, которые могли привести к раскрытию информации (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • В этих обновлениях устранена уязвимость, связанная с переполнением стека, которая могла привести к выполнению кода (CVE-2015-5110). 
  • В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • В этих обновлениях устранены проблемы обхода проверки, который можно было использовать для передачи привилегий с нижнего на средний уровень целостности (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • В этих обновлениях устранена проблема обхода проверки, которая могла обеспечить условия отказа в обслуживании на уязвимой системе (CVE-2015-5091).  
  • В этих обновлениях исправлены уязвимости переполнения целочисленного значения, которые могли привести к выполнению кода (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • В этих обновлениях учтены разные способы обхода ограничений выполнения Javascript API (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • В этих обновлениях устранены уязвимости разыменования нулевого указателя, которые могли привести к условию отказа в обслуживании (CVE-2015-4443, CVE-2015-4444). 

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов: 

  • Абдул-азиз Харири (AbdulAziz Hariri) и Жазиел Спелман (Jasiel Spelman), участники программы HP Zero Day Initiative (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • Абдул-Азиз Харири, участник программы HP Zero Day Initiative (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Алекс Инфюр (Alex Inführ) Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)
  • Пользователь bilou, сотрудничающий с VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Брайан Горенц (Brian Gorenc), участник программы HP Zero Day Initiative (CVE-2015-5100, CVE-2015-5111) 
  • Научно-исследовательская группа специалистов в области безопасности MWR Labs (@mwrlabs) (CVE-2015-4451)
  • Джеймс Форшо (James Forshaw) проект Google Project Zero (CVE-2015-4446) 
  • Цзихуэй Лу (Jihui Lu), группа KeenTeam (CVE-2015-5087) 
  • Жинченг Лиу (JinCheng Liu) из группы по исследованию проблем безопасности, входящей в компанию Alibaba (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Команда Keen Team, сотрудничающий с HP в рамках программы HP Zero Day Initiative (CVE-2015-5108) 
  • Пользователь kernelsmith, сотрудничающий с HP в рамках программы HP Zero Day Initiative (CVE-2015-4435, CVE-2015-4441) 
  • Матеуш Юржик, Google Project Zero (CVE-2015-3095) 
  • Мэтт Молиньо (Matt Molinyawe), участник программы HP Zero Day Initiative (CVE-2015-4445) 
  • Мауро Джентиль (Mauro Gentile), Minded Security (CVE-2015-5092) 
  • Николас Джоули (Nicolas Joly), сотрудничающий с HP в рамках программы Zero Day Initiative (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Вэй Лэй и У Хунцзюнь из Наньянгского Технологического Университета (CVE-2014-0566) 
  • У Ха (Wu Ha), научно-исследовательская группа специалистов в области безопасности Alibaba (CVE-2015-4443, CVE-2015-4444)