Бюллетень безопасности Adobe

Обновления безопасности для Adobe Reader и Acrobat

Дата выпуска: 9 декабря 2014 года

Идентификатор уязвимости: APSB14-28

Приоритет: см. таблицу ниже

Номера CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Платформа: Windows и Macintosh

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой.   Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:

  • Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует обновить программное обеспечение до 11.0.10.
  • Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
  • Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует выполниить обновление до версии 11.0.10.
  • Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.

Затрагиваемые версии программного обеспечения

  • Adobe Reader XI (11.0.09) и более ранние версии 11.x
  • Adobe Reader X (10.1.12) и более ранние версии 10.x
  • Adobe Acrobat XI (11.0.09) и более ранние версии 11.x
  • Adobe Acrobat X (10.1.12) и более ранние версии 10.x

Решение

Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.

Adobe Reader

В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».

Обновления Adobe Reader для Windows можно загрузить здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Обновления Adobe Reader для Macintosh можно загрузить здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».

Пользователи Acrobat Standard и Pro для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Пользователи Acrobat Pro для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Рейтинги приоритета и важности

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт Обновленная версия Платформа Рейтинг приоритета
Adobe Reader 11.0.10
Windows и Macintosh
1
  10.1.13
Windows и Macintosh 1
       
Adobe Acrobat 11.0.10
Windows и Macintosh
1
  10.1.13
Windows и Macintosh
1

В этих обновлениях исправлены критические уязвимости программного обеспечения.

Сведения

Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой.   Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:

  • Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует обновить программное обеспечение до 11.0.10.
  • Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
  • Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует выполниить обновление до версии 11.0.10.
  • Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.

В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

В этих обновлениях устранены уязвимости, связанные с переполнением динамического буфера, которые могли привести к выполнению кода (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

В этих обновлениях исправлена проблема целочисленного переполнения, которая могла привести к выполнению кода (CVE-2014-8449).

В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

В этих обновлениях устранено условие гонок типа “момент проверки – момент использования” (TOCTOU – Time Of Check Time Of Use), которое можно использовать, чтобы разрешить произвольный доступ с правом записи к файловой системе (CVE-2014-9150).

В этих обновлениях устранена неправильная реализация JavaScript API, которая могла привести к раскрытию информации (CVE-2014-8448, CVE-2014-8451).

В этих обновлениях устранена уязвимость в обработке внешних объектов XML, которая могла привести к утечке информации (CVE-2014-8452).

В этих обновлениях устранена уязвимость, которая могла быть использована для обхода политики ограничения домена (CVE-2014-8453).  

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Алекс Инфюр из Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ашфак Ансари из Payatu Technologies (CVE-2014-8446)
  • Корбин Суффрант, Армин Бушер и Дэн Кэйслден из FireEye (CVE-2014-8454)
  • Джек Танг из Trend Micro (CVE-2014-8447)
  • Джеймс Форшо (James Forshaw) проект Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Матеуш Юржик из Google Project Zero и Джинвэл Колдвинд из Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Педро Рибейро Agile Information Security (CVE-2014-8449)
  • Вэй Лэй и У Хунцзюнь, Наньянгский Технологический Университет (CVE-2014-8445, CVE-2014-9165)