Обновления безопасности для Adobe Reader и Acrobat

Дата выпуска: 12 мая 2015 г.

Идентификатор уязвимости: APSB15-10

Приоритет: см. таблицу ниже

Номера CVE: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Платформа: Windows и Macintosh

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой.   Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий: 

  • Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует обновить программное обеспечение до 11.0.11. 

  • Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14. 

  • Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует выполниить обновление до версии 11.0.11. 

  • Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.

Затрагиваемые версии программного обеспечения

  • Adobe Reader XI (11.0.10) и более ранние версии 11.x 

  • Adobe Reader X (10.1.13) и более ранние версии 10.x  

  • Adobe Acrobat XI (11.0.10) и более ранние версии 11.x  

  • Adobe Acrobat X (10.1.13) и более ранние версии 10.x

Примечание: для Adobe Acrobat Reader DC нет ссылок на номера CVE в этом бюллетене.

 

Решение

Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.

Adobe Reader

В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».

Пользователи Acrobat Reader для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Пользователи Adobe Reader для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

В конфигурации по умолчанию задано выполнение автоматической регулярной проверки наличия обновлений. Программу также можно обновить вручную через меню «Справка» > «Проверить наличие обновлений».

Пользователи Acrobat Standard и Pro для Windows могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Пользователи Acrobat Pro для Macintosh могут найти подходящие обновления здесь: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Рейтинги приоритета и важности

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт Обновленная версия Платформа Рейтинг приоритета
Adobe Reader 11.0.11
Windows и Macintosh
1
  10.1.14
Windows и Macintosh 1
       
Adobe Acrobat 11.0.11 Windows и Macintosh 1
  10.1.14 Windows и Macintosh 1

В этих обновлениях исправлены критические уязвимости программного обеспечения.

Сведения

Компания Adobe выпустила обновления системы безопасности приложений Adobe Reader и Acrobat для Windows и Macintosh. В этих обновлениях устранены уязвимости, которые потенциально могли позволить взломщику получить контроль над уязвимой системой.   Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:

  • Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует обновить программное обеспечение до 11.0.11.

  • Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.

  • Пользователям Adobe Reader XI (11.0.10) и более ранних версий следует выполниить обновление до версии 11.0.11. 

  • Пользователям Adobe Reader X (10.1.13) и более ранних версий следует обновить программное обеспечение до версии 10.1.14.

В этих обновлениях устранена уязвимость, связанная с использованием после освобождения памяти, которая могла привести к выполнению кода (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

В этих обновлениях устранены уязвимости, связанные с переполнением динамического буфера, которые могли привести к выполнению кода (CVE-2014-9160).

В этих обновлениях устранена уязвимость, связанная с переполнением буфера, которая могла привести к выполнению кода (CVE-2015-3048).

В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

В этих обновления устранена проблема утечки памяти (CVE-2015-3058).  

В этих обновлениях учтены разные способы обхода ограничений выполнения Javascript API (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

В этих обновлениях устранена проблема разыменования нулевого указателя, которая могла привести к возникновению условия отказа обслуживания (CVE-2015-3047). 

В этих обновлениях обеспечено дополнительное усиление защиты против CVE-2014-8452, устранена уязвимость в обработке внешних объектов XML, которая могла привести к раскрытию информации.  

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов: 

  • Абдулазиз Харири, участник программы HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073)

  • Алекс Инфюр, Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Анонимное сообщение в группу SecuriTeam Secure Disclosure компании Beyond Security (CVE-2015-3075)

  • Пользователь bilou, участник программы HP Zero Day Initiative (CVE-2015-3059) 

  • Брайан Горенц, участник программы HP Zero Day Initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Дэйв Вайнштайн, участник программы HP Zero Day Initiative (CVE-2015-3069) 

  • Пользователь instruder из научно-исследовательской группы специалистов в области безопасности Alibaba (CVE-2015-3070)

  • Пользователь lokihardt@asrt, участник программы HP Zero Day Initiative (CVE-2015-3074) 

  • Матеуш Юржик, Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Матеуш Юржик, участник проекта Google Project Zero и Гинваэль Колдвинд из группы Google Security Team (CVE-2014-9160, CVE-2014-9161) 

  • Саймон Цукербраун, участник программы HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Вэй Лэй, У Хунцзюнь и Ван Цзин из Наньянского технологического университета (CVE-2015-3047)

  • Вэй Лэй и У Хунцзюнь из Наньянского технологического университета (CVE-2015-3046)

  • Сяонин Ли из Intel Labs и Хайфэй Ли из группы McAfee Labs IPS (CVE-2015-3048)