Säkerhetsuppdateringar för Adobe Reader och Acrobat

Releasedatum: 12 maj 2015

Sårbarhets-ID: APSB15-10

Prioritet: Se tabellen nedan

CVE-nummer: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Plattform: Windows och Macintosh

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Reader och Acrobat för Windows och Macintosh. Dessa uppdateringar åtgärdar sårbarheter som kan ge en angripare möjlighet att ta över den drabbade datorn.  Adobe rekommenderar alla användare att uppdatera till senaste versionen: 

  • Användare av Adobe Reader XI (11.0.10) och tidigare versioner bör uppdatera till version 11.0.11. 

  • Användare av Adobe Reader X (10.1.13) och tidigare versioner bör uppdatera till version 10.1.14. 

  • Användare av Adobe Acrobat XI (11.0.10) och tidigare versioner bör uppdatera till version 11.0.11. 

  • Användare av Adobe Acrobat X (10.1.13) och tidigare versioner bör uppdatera till version 10.1.14.

Berörda programversioner

  • Adobe Reader XI (11.0.10) och tidigare 11.x-versioner 

  • Adobe Reader X (10.1.13) och tidigare 10.x-versioner  

  • Adobe Acrobat XI (11.0.10) och tidigare 11.x-versioner  

  • Adobe Acrobat X (10.1.13) och tidigare 10.x-versioner

Obs! Adobe Acrobat Reader DC berörs inte av CVE-referenserna i den här bulletinen.

 

Lösning

Adobe rekommenderar alla användare att uppdatera sina programvaruinstallationer genom att följa instruktionerna nedan:

Adobe Reader

Produktens uppdateringsmekanism är som standard satt att köra automatiska uppdateringssökningar efter ett regelbundet schema. Uppdateringssökningen kan aktiveras manuellt genom att välja Hjälp > Leta efter uppdateringar.

Uppdateringen till Adobe Reader för Windows finns även här: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Uppdateringen till Adobe Reader för Macintosh finns även här: http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

Produktens uppdateringsmekanism är som standard satt att köra automatiska uppdateringssökningar efter ett regelbundet schema. Uppdateringssökningen kan aktiveras manuellt genom att välja Hjälp > Leta efter uppdateringar.

Uppdateringen till Acrobat Standard och Pro för Windows finns även här: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Uppdateringen till Acrobat Pro för Macintosh finns även här: http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

Prioritet och allvarlighetsgrad

 Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Uppdaterad version Plattform Prioritet
Adobe Reader 11.0.11
Windows och Macintosh
1
  10.1.14
Windows och Macintosh 1
       
Adobe Acrobat 11.0.11 Windows och Macintosh 1
  10.1.14 Windows och Macintosh 1

Dessa uppdateringar åtgärdar sårbarheter klassade som kritiska i programmet.

Detaljer

Adobe har släppt säkerhetsuppdateringar för Adobe Reader och Acrobat för Windows och Macintosh. Dessa uppdateringar åtgärdar sårbarheter som kan ge en angripare möjlighet att ta över den drabbade datorn.  Adobe rekommenderar alla användare att uppdatera till senaste versionen:

  • Användare av Adobe Reader XI (11.0.10) och tidigare versioner bör uppdatera till version 11.0.11.

  • Användare av Adobe Reader X (10.1.13) och tidigare versioner bör uppdatera till version 10.1.14.

  • Användare av Adobe Acrobat XI (11.0.10) och tidigare versioner bör uppdatera till version 11.0.11. 

  • Användare av Adobe Acrobat X (10.1.13) och tidigare versioner bör uppdatera till version 10.1.14.

Uppdateringarna åtgärdar flera use-after-free-problem som kan leda till exekvering av kod (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Uppdateringarna åtgärdar heap-baserade buffertspillfel som kan leda till exekvering av kod (CVE-2014-9160).

Uppdateringarna åtgärdar ett buffertspillfel som kan leda till exekvering av kod (CVE-2015-3048).

Uppdateringarna åtgärdar flera minnesfel som kan leda till exekvering av kod (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Uppdateringarna åtgärdar ett minnesläckage (CVE-2015-3058).  

Uppdateringarna åtgärdar olika metoder för att hoppa över begränsningar för exekvering av kod från JavaScript API (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Uppdateringarna åtgärdar ett fel av typen "null-pointer dereference" som kan leda till funktionsfel (CVE-2015-3047). 

Uppdateringarna förstärker skyddet mot CVE-2014-8452, en säkerhetslucka vid hantering av XML externa entiteter som kan leda till informationsexponering.  

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor: 

  • AbdulAziz Hariri från HP Zero Day Initiative (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ från Cure53.de (CVE-2014-8452, CVE-2015-3076)

  • En anonym person som rapporterat via Beyond Securitys SecuriTeam Secure Disclosure  (CVE-2015-3075)

  • bilou för arbetet med HP Zero Day Initiative (CVE-2015-3059)

  • Brian Gorenc från HP Zero Day initiative (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein från HP Zero Day Initiative (CVE-2015-3069)

  • instruder från Alibaba Security Research Team (CVE-2015-3070)

  • lokihardt@asrt för arbetet med HP's Zero Day Initiative (CVE-2015-3074) 

  • Mateusz Jurczyk från Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk från /Google Project Zero och Gynvael Coldwind of Google Security Team (CVE-2014-9160, CVE-2014-9161)

  • Simon Zuckerbraun för arbetet med HP Zero Day Initiative (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei samt Wu Hongjun och Wang Jing från Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei samt Wu Hongjun från Nanyang Technological University (CVE-2015-3046) 

  • Xiaoning Li från Intel Labs och Haifei Li från McAfee Labs IPS Team (CVE-2015-3048)