Säkerhetsuppdateringar för Adobe Reader och Acrobat

Releasedatum: 9 december 2014

Sårbarhets-ID: APSB14-28

Prioritet: Se tabellen nedan

CVE-nummer: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plattform: Windows och Macintosh

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Reader och Acrobat för Windows och Macintosh. Dessa uppdateringar åtgärdar sårbarheter som kan ge en angripare möjlighet att ta över den drabbade datorn.  Adobe rekommenderar alla användare att uppdatera till senaste versionen:

  • Användare av Adobe Reader XI (11.0.09) och tidigare versioner bör uppdatera till version 11.0.10.
  • Användare av Adobe Reader X (10.1.12) och tidigare versioner bör uppdatera till version 10.1.13.
  • Användare av Adobe Acrobat XI (11.0.09) och tidigare versioner bör uppdatera till version 11.0.10.
  • Användare av Adobe Acrobat X (10.1.12) och tidigare versioner bör uppdatera till version 10.1.13.

Berörda programversioner

  • Adobe Reader XI (11.0.09) och tidigare 11.x-versioner
  • Adobe Reader X (10.1.12) och tidigare 10.x-versioner
  • Adobe Acrobat XI (11.0.09) och tidigare 11.x-versioner
  • Adobe Acrobat X (10.1.12) och tidigare 10.x-versioner

Lösning

Adobe rekommenderar alla användare att uppdatera sina programvaruinstallationer genom att följa instruktionerna nedan:

Adobe Reader

Produktens uppdateringsmekanism är som standard satt att köra automatiska uppdateringssökningar efter ett regelbundet schema. Uppdateringssökningen kan aktiveras manuellt genom att välja Hjälp > Leta efter uppdateringar.

Uppdateringen till Adobe Reader för Windows finns även här: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Uppdateringen till Adobe Reader för Macintosh finns även här: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

Produktens uppdateringsmekanism är som standard satt att köra automatiska uppdateringssökningar efter ett regelbundet schema. Uppdateringssökningen kan aktiveras manuellt genom att välja Hjälp > Leta efter uppdateringar.

Uppdateringen till Acrobat Standard och Pro för Windows finns även här: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Uppdateringen till Acrobat Pro för Macintosh finns även här: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Prioritet och allvarlighetsgrad

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Uppdaterad version Plattform Prioritet
Adobe Reader 11.0.10
Windows och Macintosh
1
  10.1.13
Windows och Macintosh 1
       
Adobe Acrobat 11.0.10
Windows och Macintosh
1
  10.1.13
Windows och Macintosh
1

Dessa uppdateringar åtgärdar sårbarheter klassade som kritiska i programmet.

Detaljer

Adobe har släppt säkerhetsuppdateringar för Adobe Reader och Acrobat för Windows och Macintosh. Dessa uppdateringar åtgärdar sårbarheter som kan ge en angripare möjlighet att ta över den drabbade datorn.  Adobe rekommenderar alla användare att uppdatera till senaste versionen:

  • Användare av Adobe Reader XI (11.0.09) och tidigare versioner bör uppdatera till version 11.0.10.
  • Användare av Adobe Reader X (10.1.12) och tidigare versioner bör uppdatera till version 10.1.13.
  • Användare av Adobe Acrobat XI (11.0.09) och tidigare versioner bör uppdatera till version 11.0.10.
  • Användare av Adobe Acrobat X (10.1.12) och tidigare versioner bör uppdatera till version 10.1.13.

Uppdateringarna åtgärdar flera use-after-free-problem som kan leda till exekvering av kod (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Uppdateringarna åtgärdar ett heap-baserat buffertspillfel som kan leda till exekvering av kod (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Uppdateringarna åtgärdar ett heltalsspillproblem som kan leda till exekvering av kod (CVE-2014-8449).

Uppdateringarna åtgärdar flera minnesfel som kan leda till exekvering av kod (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Uppdateringarna åtgärdar konkurrenstillstånd av typen TOCTOU (time-of-check time-of-use) som kan utnyttjas för att tillåta godtycklig skrivåtkomst till filsystemet (CVE-2014-9150).

Uppdateringarna åtgärdar ett felaktig implementering av ett JavaScript-API som kan medföra informationsexponering (CVE-2014-8448, CVE-2014-8451).

Uppdateringarna åtgärdar en säkerhetslucka i hanteringen av externa XML-entiteter som kan medföra informationsexponering (CVE-2014-8452).

Uppdateringarna åtgärdar säkerhetsluckor som kan utnyttjas för att kringgå policyn om samma ursprung (CVE-2014-8453).  

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Alex Inführ från Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari från Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher och Dan Caselden från FireEye (CVE-2014-8454)
  • Jackskarp Tang från Trend Micro (CVE-2014-8447)
  • James Forshaw på Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk från Google Project Zero och Gynvael Coldwind från Google Security Team (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro från Agile Information Security (CVE-2014-8449)
  • Wei Lei och Wu Hongjun på Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)