Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe Acrobat och Reader

Releasedatum: 2015-07-14

Sårbarhets-ID: APSB15-15

Prioritet: Se tabellen nedan

CVE-nummer: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Plattform: Windows och Macintosh

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Acrobat och Reader för Windows och Macintosh. Uppdateringarna åtgärdar kritiska säkerhetsluckor som kan ge en angripare möjlighet att ta kontroll över den drabbade datorn.   

Berörda versioner

Produkt Spår Berörda versioner Plattform
Acrobat DC Continuous 2015.007.20033
Windows och Macintosh
Acrobat Reader DC Continuous 2015.007.20033
Windows och Macintosh
       
Acrobat DC Classic 2015.006.30033
Windows och Macintosh
Acrobat Reader DC Classic 2015.006.30033
Windows och Macintosh
       
Acrobat XI N/A 11.0.11 och tidigare versioner Windows och Macintosh
Acrobat X N/A 10.1.14 och tidigare versioner Windows och Macintosh
       
Reader XI N/A 11.0.11 och tidigare versioner Windows och Macintosh
Reader X N/A 10.1.14 och tidigare versioner Windows och Macintosh

Om du har frågor om Acrobat DC kan du besöka sidan med vanliga frågor om Acrobat DC. Om du har frågor om Acrobat Reader DC kan du besöka sidan med vanliga frågor om Acrobat Reader DC.   

Lösning

Adobe rekommenderar att användarna uppdaterar installerade programvaror till de senaste versionerna genom att använda någon av följande metoder: 

  • Användarna kan uppdatera installerade produkter manuellt, genom att välja: Hjälp > Leta efter uppdateringar.  
  • Om uppdateringar hittas uppdateras produkterna automatiskt utan att användaren behöver utföra någon åtgärd.  
  • Det fullständiga Acrobat Reader-installationsprogrammet kan hämtas från Acrobat Reader Download Center.  

För IT-administratörer (administrerade miljöer):  

  • Hämta Enterprise-installationsprogrammen från ftp://ftp.adobe.com/pub/adobe/ eller använd installationsprogramlänkarna i versionsinformationen.
  • Installera uppdateringarna med någon metod som du föredrar, till exempel via en administrativ installationspunkt, ett startprogram, SCUP/SCCM (Windows) eller – för Macintosh – via Apple Remote Desktop och SSH. 
Produkt Spår Uppdaterade versioner Plattform Prioritet Tillgänglighet
Acrobat DC Continuous 2015.008.20082
Windows och Macintosh
2

Windows

Macintosh

Acrobat Reader DC Continuous 2015.008.20082
Windows och Macintosh 2 Download Center
           
Acrobat DC Classic 2015.006.30060
Windows och Macintosh 2

Windows

Macintosh

Acrobat Reader DC Classic 2015.006.30060
Windows och Macintosh 2

Windows

Macintosh

           
Acrobat XI N/A 11.0.12 Windows och Macintosh 2

Windows

Macintosh

Acrobat X N/A 10.1.15 Windows och Macintosh 2

Windows

Macintosh

           
Reader XI N/A 11.0.12 Windows och Macintosh 2

Windows

Macintosh

Reader X N/A 10.1.15 Windows och Macintosh 2

Windows

Macintosh

Sårbarhetsinformation

  • Uppdateringarna åtgärdar ett buffertspillfel som kan leda till exekvering av kod (CVE-2015-5093).  
  • Uppdateringarna åtgärdar problem med heapspillfel som kan leda till exekvering av kod (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Uppdateringarna åtgärdar flera minnesfel som kan leda till exekvering av kod (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Uppdateringarna åtgärdar ett informationsläckageproblem (CVE-2015-5107).  
  • Uppdateringarna åtgärdar flera säkerhetsluckor som kan leda till att information exponeras (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Uppdateringarna åtgärdar ett stackspillfel som kan leda till exekvering av kod (CVE-2015-5110). 
  • Uppdateringarna åtgärdar flera sårbarheter som kan leda till exekvering av kod (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Uppdateringarna åtgärdar ett valideringsproblem som kan utnyttjas för att utföra eskalering av behörigheter från låg till medelhög integritetsnivå (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Uppdateringarna åtgärdar ett valideringsproblem som kan utnyttjas för att aktivera ett dos-tillstånd (denial of service) på den drabbade datorn (CVE-2015-5091).  
  • Uppdateringarna åtgärdar problem med heltalsspill som kan leda till exekvering av kod (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Uppdateringarna åtgärdar olika metoder för att hoppa över begränsningar för exekvering av kod från JavaScript API (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Uppdateringarna åtgärdar problem med avreferering av nollpekare som kan leda till ett dos-tillstånd (denial of service) (CVE-2015-4443, CVE-2015-4444). 

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor: 

  • AbdulAziz Hariri och Jasiel Spelman från HP Zero Day Initiative (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri från HP Zero Day Initiative (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ från Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)  
  • bilou i samarbete med VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099)
  • Brian Gorenc från HP Zero Day Initiative (CVE-2015-5100, CVE-2015-5111) 
  • Säkerhetsteamet hos MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw på Google Project Zero (CVE-2015-4446) 
  • Jihui Lu från KeenTeam (CVE-2015-5087) 
  • JinCheng Liu från Alibaba Security Research Team (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Keen Team i samarbete med HP Zero Day Initiative (CVE-2015-5108) 
  • kernelsmith i samarbete med HP Zero Day Initiative (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk från Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe från HP Zero Day Initiative (CVE-2015-4445) 
  • Mauro Gentile från Minded Security (CVE-2015-5092) 
  • Nicolas Joly i samarbete med HP Zero Day Initiative (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei Lei och Wu Hongjun på Nanyang Technological University (-0566-, CVE-2014) 
  • Wu Ha från Alibaba Security Research Team (CVE-2015-4443, CVE-2015-4444)