Дата выпуска: 9 декабря 2014 года
Идентификатор уязвимости: APSB14-28
Приоритет: см. таблицу ниже
Номера CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Платформа: Windows и Macintosh
Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой. Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:
- Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует обновить программное обеспечение до 11.0.10.
- Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
- Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует выполниить обновление до версии 11.0.10.
- Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
- Adobe Reader XI (11.0.09) и более ранние версии 11.x
- Adobe Reader X (10.1.12) и более ранние версии 10.x
- Adobe Acrobat XI (11.0.09) и более ранние версии 11.x
- Adobe Acrobat X (10.1.12) и более ранние версии 10.x
Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.
Adobe Reader
В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».
Обновления Adobe Reader для Windows можно загрузить здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Обновления Adobe Reader для Macintosh можно загрузить здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».
Пользователи Acrobat Standard и Pro для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows
Пользователи Acrobat Pro для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
В этих обновлениях исправлены критические уязвимости программного обеспечения.
Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой. Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:
- Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует обновить программное обеспечение до 11.0.10.
- Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
- Пользователям Adobe Reader XI (11.0.09) и более ранних версий следует выполниить обновление до версии 11.0.10.
- Пользователям Adobe Reader X (10.1.12) и более ранних версий следует обновить программное обеспечение до версии 10.1.13.
В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
В этих обновлениях устранены уязвимости, связанные с переполнением динамического буфера, которые могли привести к выполнению кода (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
В этих обновлениях исправлена проблема целочисленного переполнения, которая могла привести к выполнению кода (CVE-2014-8449).
В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
В этих обновлениях устранено условие гонок типа “момент проверки – момент использования” (TOCTOU – Time Of Check Time Of Use), которое можно использовать, чтобы разрешить произвольный доступ с правом записи к файловой системе (CVE-2014-9150).
В этих обновлениях устранена неправильная реализация JavaScript API, которая могла привести к раскрытию информации (CVE-2014-8448, CVE-2014-8451).
В этих обновлениях устранена уязвимость в обработке внешних объектов XML, которая могла привести к утечке информации (CVE-2014-8452).
В этих обновлениях устранена уязвимость, которая могла быть использована для обхода политики ограничения домена (CVE-2014-8453).
Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- Алекс Инфюр из Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ашфак Ансари из Payatu Technologies (CVE-2014-8446)
- Корбин Суффрант, Армин Бушер и Дэн Кэйслден из FireEye (CVE-2014-8454)
- Джек Танг из Trend Micro (CVE-2014-8447)
- Джеймс Форшо (James Forshaw) проект Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Матеуш Юржик из Google Project Zero и Джинвэл Колдвинд из Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Педро Рибейро Agile Information Security (CVE-2014-8449)
- Вэй Лэй и У Хунцзюнь, Наньянгский Технологический Университет (CVE-2014-8445, CVE-2014-9165)