Adobe Reader ve Acrobat için Güvenlik Güncellemeleri mevcut

Yayınlanma tarihi: 9 Aralık 2014

Güvenlik açığı tanımlayıcısı: APSB14-28

Öncelik: Aşağıdaki tabloya bakınız

CVE numaraları: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Platform: Windows ve Macintosh

Özet

Adobe, Windows ve Macintosh için Adobe Reader ve Acrobat yazılımlarına yönelik güvenlik güncellemeleri yayınlamıştır. Bu güncellemeler, bir saldırganın potansiyel olarak, etkilenen sistemin kontrolünü ele geçirmesine olanak tanıyabilecek güvenlik açıklarıyla ilgilidir.  Adobe, kullanıcıların ürün yüklemelerini en son sürüme güncellemelerini önerir:

  • Adobe Reader XI (11.0.09) ve önceki sürümlerin kullanıcıları, yazılımı 11.0.10 sürümüne güncellemelidir.
  • Adobe Reader X (10.1.12) ve önceki sürümlerin kullanıcıları, yazılımı 10.1.13 sürümüne güncellemelidir.
  • Adobe Acrobat XI (11.0.09) ve önceki sürümlerin kullanıcıları, yazılımı 11.0.10'a güncellemelidir.
  • Adobe Acrobat X (10.1.12) ve önceki sürümlerin kullanıcıları, yazılımı 10.1.13 sürümüne güncellemelidir.

Etkilenen yazılım sürümleri

  • Adobe Reader XI (11.0.09) ve önceki 11.x sürümleri
  • Adobe Reader X (10.1.12) ve önceki 10.x sürümleri
  • Adobe Acrobat XI (11.0.09) ve önceki 11.x sürümleri
  • Adobe Acrobat X (10.1.12) ve önceki 10.x sürümleri

Çözüm

Adobe kullanıcıların yazılım yüklemelerini aşağıdaki talimatları izleyerek güncellemelerini önermektedir:

Adobe Reader

Ürünün varsayılan güncelleme mekanizması, otomatik güncelleme denetimlerini düzenli bir programda yürütecek şekilde ayarlanmıştır. Güncelleme denetimleri Yardım > Güncelleştirmeleri Denetle'yi seçerek elle etkinleştirilebilir.

Windows platformu Adobe Reader kullanıcıları için uygun güncelleme şu adresten bulunabilir: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Macintosh platformu Adobe Reader kullanıcıları için uygun güncelleme şu adresten bulunabilir: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Ürünün varsayılan güncelleme mekanizması, otomatik güncelleme denetimlerini düzenli bir programda yürütecek şekilde ayarlanmıştır. Güncelleme denetimleri Yardım > Güncelleştirmeleri Denetle'yi seçerek elle etkinleştirilebilir.

Windows platformu Acrobat Standart ve Pro kullanıcıları için uygun güncelleme şu adresten bulunabilir: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Ayrıca Macintosh üzerindeki Acrobat Pro kullanıcıları, ilgili güncellemeyi burada bulabilir: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Öncelik ve önem derecelendirmeleri

Adobe bu güncellemeleri, aşağıdaki öncelik derecelendirmeleri ile kategorize etmektedir ve kullanıcılarının kurulumlarını en güncel sürümlere yükseltmelerini önermektedir:

Ürün Güncellenen Sürüm Platform Öncelik derecelendirmesi
Adobe Reader 11.0.10
Windows ve Macintosh
1
  10.1.13
Windows ve Macintosh 1
       
Adobe Acrobat 11.0.10
Windows ve Macintosh
1
  10.1.13
Windows ve Macintosh
1

Bu güncellemeler yazılımdaki kritik güvenlik açıklarına yöneliktir.

Ayrıntılar

Adobe, Windows ve Macintosh için Adobe Reader ve Acrobat uygulamalarına yönelik güvenlik güncellemeleri yayınlamıştır. Bu güncellemeler, bir saldırganın potansiyel olarak, etkilenen sistemin kontrolünü ele geçirmesine olanak tanıyabilecek güvenlik açıklarıyla ilgilidir.  Adobe, kullanıcıların ürün yüklemelerini en son sürüme güncellemelerini önerir:

  • Adobe Reader XI (11.0.09) ve önceki sürümlerin kullanıcıları, yazılımı 11.0.10 sürümüne güncellemelidir.
  • Adobe Reader X (10.1.12) ve önceki sürümlerin kullanıcıları, yazılımı 10.1.13 sürümüne güncellemelidir.
  • Adobe Acrobat XI (11.0.09) ve önceki sürümlerin kullanıcıları, yazılımı 11.0.10'a güncellemelidir.
  • Adobe Acrobat X (10.1.12) ve önceki sürümlerin kullanıcıları, yazılımı 10.1.13 sürümüne güncellemelidir.

Bu güncellemeler, kod yürütmesine neden olabilecek ücretsiz kullanımdan sonraki kullanıma dair güvenlik açıkları sorununu gidermektedir (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Bu güncellemeler, kod yürütmesine neden olabilecek yığın tabanlı arabellek alanındaki aşırı yüke dair güvenlik açıkları sorununu gidermektedir (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Bu güncellemeler, kod yürütmesine neden olabilecek bir tamsayı taşması güvenlik açığı sorununu gidermektedir (CVE-2014-8449).

Bu güncellemeler, kod yürütmesine neden olabilecek bellek bozulma açığı sorunlarını çözmektedir (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Bu güncellemeler, dosya sistemine gelişigüzel yazma erişimine olanak vermek üzere kullanılabilen, kontrol zamanından kullanım zamanına (TOCTOU) yarış durumu sorununu gidermektedir (CVE-2014-9150).

Bu güncellemeler, Javascript API'lerinin uygun olmayan şekilde uygulanması sırasında bilgilerin açığa çıkmasına neden olabilecek bir sorunu gidermektedir (CVE-2014-8448, CVE-2014-8451).

Bu güncellemeler, XML harici varlıklarının ele alınması sırasında bilgilerin açığa çıkmasına neden olabilecek bir güvenlik açığı sorununu gidermektedir (CVE-2014-8452).

Bu güncellemeler, aynı köken politikasını atlatmak için kullanılabilen güvenlik açığı sorununu gidermektedir (CVE-2014-8453).  

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Alex Inführ, Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari, Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher ve Dan Caselden, FireEye (CVE-2014-8454)
  • Jack Tang, Trend Micro (CVE-2014-8447)
  • James Forshaw, Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk, Google Project Zero ve Gynvael Coldwind, Google Güvenlik Takımı (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro, Agile Information Security (CVE-2014-8449)
  • Wei Lei ve Wu Hongjun, /Nanyang Technological University (CVE-2014-8445, CVE-2014-9165)