Adobe Reader 和 Acrobat 的安全性更新已推出

發佈日期:2014 年 13 月 5 日

弱點識別碼: APSB14-15

優先順序: 請參閱下表

CVE 編號:CVE-2014-0511、CVE-2014-0512、CVE-2014-0521、CVE-2014-0522、CVE-2014-0523、CVE-2014-0524、CVE-2014-0525、CVE-2014-0526、CVE-2014-0527、CVE-2014-0528、CVE-2014-0529

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用的 Adobe Reader 和 Acrobat XI (11.0.06) 及更早版本的安全性更新。這些更新可解決可能導致當機以及允許攻擊者控制受影響系統的弱點。

Adobe 建議使用者將其產品安裝更新至最新版本:

  • Windows 和 Macintosh 專用之 Adobe Reader XI (11.0.06) 的使用者應該更新至 Adobe Reader XI (11.0.07)。
  • 針對無法更新至 Adobe Reader XI (11.0.07) 的 Windows 和 Macintosh 專用之 Adobe Reader X (10.1.9) 及更早版本的使用者,Adobe 已提供 Adobe Reader X (10.1.10) 的更新。
  • Windows 和 Macintosh 專用之 Adobe Acrobat XI (11.0.06) 的使用者應該更新至 Adobe Acrobat XI (11.0.07)。
  • 針對無法更新至 Adobe Acrobat XI (11.0.07) 的 Windows 和 Macintosh 專用之 Adobe Acrobat X (10.1.9) 及更早版本的使用者,Adobe 已提供 Adobe Acrobat X (10.1.10) 的更新。

受影響的軟體版本

  • Windows 和 Macintosh 專用的 Adobe Reader XI (11.0.06) 和 11.x 更早版本
  • Windows 和 Macintosh 專用的 Adobe Reader X (10.1.9) 和 10.x 更早版本
  • Windows 和 Macintosh 專用的 Adobe Acrobat XI (11.0.06) 和 11.x 更早版本
  • Windows 和 Macintosh 專用的 Adobe Acrobat X (10.1.9) 和 10.x 更早版本

解決方法

Adobe 建議使用者依照下列說明更新其軟體安裝:

Adobe Reader

Windows 和 Macintosh 使用者可運用產品的更新機制。預設的組態已設為定期排程自動檢查更新。您可藉由選擇「說明 > 檢查更新」以手動啟動更新檢查。

Windows 版 Adobe Reader 使用者也可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=10&platform=Windows

Macintosh 版 Adobe Reader 使用者也可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

使用者可利用產品的更新機制。預設的組態已設為定期排程自動檢查更新。您可藉由選擇說明 > 檢查更新以手動啟動更新檢查。

Windows 版 Acrobat Standard 和 Pro 使用者可在這裡找到適用的更新:
http://www.adobe.com/tw/support/downloads/product.jsp?product=1&platform=Windows

Windows 版 Acrobat Pro Extended 使用者也可在這裡找到適用的更新: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Macintosh 版 Acrobat Pro 使用者也可在這裡找到適用的更新: http://www.adobe.com/tw/support/downloads/product.jsp?product=1&platform=Macintosh

優先順序與嚴重性分級

Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:

產品 已更新的版本 平台 優先順序分級
Adobe Reader XI (11.0.07)
Windows 與 Macintosh
1
Adobe Reader X (10.1.10)
Windows 與 Macintosh 1
Adobe Acrobat XI (11.0.07)
Windows 與 Macintosh
1
Adobe Acrobat
X (10.1.10)
Windows 與 Macintosh
1

這些更新將解決軟體中的重大弱點。

詳細資訊

Adobe 已發佈 Windows 和 Macintosh 專用的 Adobe Reader 和 Acrobat XI (11.0.06) 及更早版本的安全性更新。這些更新可解決可能導致當機以及允許攻擊者控制受影響系統的弱點。

Adobe 建議使用者將其產品安裝更新至最新版本:

  • Windows 和 Macintosh 專用之 Adobe Reader XI (11.0.06) 的使用者應該更新至 Adobe Reader XI (11.0.07)。
  • 針對無法更新至 Adobe Reader XI (11.0.07) 的 Windows 和 Macintosh 專用之 Adobe Reader X (10.1.9) 及更早版本的使用者,Adobe 已提供 Adobe Reader X (10.1.10) 的更新。
  • Windows 和 Macintosh 專用之 Adobe Acrobat XI (11.0.06) 的使用者應該更新至 Adobe Acrobat XI (11.0.07)。
  • 針對無法更新至 Adobe Acrobat XI (11.0.07) 的 Windows 和 Macintosh 專用之 Adobe Acrobat X (10.1.9) 及更早版本的使用者,Adobe 已提供 Adobe Acrobat X (10.1.10) 的更新。

這些更新可解決可能導致程式碼執行的堆積溢位弱點 (CVE-2014-0511)。

這些更新將解決可能導致安全性略過的輸入驗證錯誤 (CVE-2014-0512)。

這些更新可解決可能導致資訊公開的 Javascript API 實作弱點 (CVE-2014-0521)。

這些更新將解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2014-0522、CVE-2014-0523、CVE-2014-0524、CVE-2014-0526)。

這些更新可解決 Reader 處理某些未對應記憶體之 API 呼叫的弱點,此弱點可能會導致程式碼執行 (CVE-2014-0525)。

這些更新可解決可能導致程式碼執行的釋放後使用 (use-after-free) 記憶體出錯弱點 (CVE-2014-0527)。

這些更新可解決可能導致程式碼執行的雙重釋放弱點 (CVE-2014-0528)。

這些更新可解決可能導致程式碼執行的緩衝區溢位弱點 (CVE-2014-0529)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 與 HP 零時差計畫合作的 VUPEN (CVE-2014-0511、CVE-2014-0512)
  • Ukatemi 的 Gábor Molnár (CVE-2014-0521)
  • 南洋理工大學的 Wei Lei 和 Wu Hongjun (CVE-2014-0522、CVE-2014-0524)
  • 來自南洋理工大學並與 Verisign iDefense Labs 合作的 Wei Lei 和 Wu Hongjun (CVE-2014-0523)
  • 趨勢科技的 Yuki Chen (CVE-2014-0525)
  • Pedro Ribeiro (Agile Information Security) 和 Honglin Long (CVE-2014-0526)
  • 與 HP 零時差計畫合作的 chkr_d591 (CVE-2014-0527)
  • Ange Optimization 的 Sune Vuorela (CVE-2014-0528)
  • 啟明星辰積極防禦實驗室 (CVE-2014-0529)