Обновления безопасности для Adobe Reader и Acrobat
Дата выпуска: 12 мая 2015 г.
Идентификатор уязвимости: APSB15-10
Приоритет: см. таблицу ниже
Номера CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076
Платформа: Windows и Macintosh
Сводка
Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой. Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:
Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует обновить программное обеспечение до 11.0.11.
Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.
Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует выполниить обновление до версии 11.0.11.
Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.
Затрагиваемые версии программного обеспечения
Adobe Reader XI (11.0.10) и более ранние версии 11.x
Adobe Reader X (10.1.13) и более ранние версии 10.x
Adobe Acrobat XI (11.0.10) и более ранние версии 11.x
- Adobe Acrobat X (10.1.13) и более ранние версии 10.x
Примечание: для Adobe Acrobat Reader нет ссылок на номера CVE в этом бюллетене.
Решение
Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.
Adobe Reader
В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».
Пользователи Acrobat Reader для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Пользователи Adobe Reader для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».
Пользователи Acrobat Standard и Pro для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Пользователи Acrobat Pro для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Рейтинги приоритета и важности
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
Обновленная версия |
Платформа |
Рейтинг приоритета |
|
Adobe Reader |
11.0.11 |
Windows и Macintosh |
1 |
|
10.1.14 |
Windows и Macintosh |
1 |
|
|
|
|
Adobe Acrobat |
11.0.11 |
Windows и Macintosh |
1 |
|
10.1.14 |
Windows и Macintosh |
1 |
В этих обновлениях исправлены критические уязвимости программного обеспечения.
Сведения
Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой. Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:
Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует обновить программное обеспечение до 11.0.11.
Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.
Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует выполниить обновление до версии 11.0.11.
Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.
В этих обновлениях устранена уязвимость, связанная с использованием после освобождения памяти, которая могла привести к выполнению кода (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).
В этих обновлениях устранены уязвимости, связанные с переполнением динамического буфера, которые могли привести к выполнению кода (CVE-2014-9160).
В этих обновлениях устранена уязвимость, связанная с переполнением буфера, которая могла привести к выполнению кода (CVE-2015-3048).
В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076).
В этих обновления устранена проблема утечки памяти (CVE-2015-3058).
В этих обновлениях учтены разные способы обхода ограничений выполнения Javascript API (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).
В этих обновлениях устранена проблема разыменования нулевого указателя, которая могла привести к возникновению условия отказа обслуживания (CVE-2015-3047).
В этих обновлениях обеспечено дополнительное усиление защиты против CVE-2014-8452, устранена уязвимость в обработке внешних объектов XML, которая могла привести к раскрытию информации.
Благодарности
Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
Абдулазиз Харири, участник программы HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)
Алекс Инфюр, Cure53.de (CVE-2014-8452, CVE-2015-3076)
Анонимное сообщение в группу SecuriTeam Secure Disclosure компании Beyond Security (CVE-2015-3075)
Пользователь bilou, участник программы HP Zero Day Initiative (CVE-2015-3059)
Брайан Горенц, участник программы HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)
Дэйв Вайнштайн, участник программы HP Zero Day Initiative (CVE-2015-3069)
Пользователь instruder из научно-исследовательской группы специалистов в области безопасности Alibaba (CVE-2015-3070)
Пользователь lokihardt@asrt, участник программы HP Zero Day Initiative (CVE-2015-3074)
Матеуш Юржик, Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052)
Матеуш Юржик, участник проекта Google Project Zero и Гинваэль Колдвинд из группы Google Security Team (CVE-2014-9160, CVE-2014-9161)
Саймон Цукербраун, участник программы HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062)
Вэй Лэй, У Хунцзюнь и Ван Цзин из Наньянского технологического университета (CVE-2015-3047)
Вэй Лэй и У Хунцзюнь из Наньянского технологического университета (CVE-2015-3046)
Сяонин Ли из Intel Labs и Хайфэй Ли из группы McAfee Labs IPS (CVE-2015-3048)