Data de lançamento: 5 de outubro de 2010
Identificador de vulnerabilidade: APSB10-21
Números CVE: CVE-2010-2883, CVE-2010-2884, CVE-2010-2887, CVE-2010-2888,
CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3621,
CVE-2010-3622, CVE-2010-3623, CVE-2010-3624, CVE-2010-3625, CVE-2010-3626,
CVE-2010-3627, CVE-2010-3628, CVE-2010-3629, CVE-2010-3630, CVE-2010-3631,
CVE-2010-3632, CVE-2010-3656, CVE-2010-3657, CVE-2010-3658
Plataforma: todas as plataformas
As vulnerabilidades importantes foram identificadas no Adobe Reader 9.3.4 (e versões anteriores) para
Windows, Macintosh e UNIX, Adobe Acrobat 9.3.4 (e versões anteriores) para Windows e
Macintosh, Adobe Reader 8.2.4 (e versões anteriores) e Adobe Acrobat 8.2.4 (e versões
anteriores) para Windows e Macintosh. Essas vulnerabilidades, incluindo CVE-2010-2883,
referenciado em Conselhos sobre segurança APSA10-02, e o CVE-2010-2884 referenciado no
Boletim de segurança APSB10-22 do Adobe Flash Player, poderiam causar falhas no aplicativo e permitir que um
um invasor assumisse o controle do sistema afetado.
A Adobe recomenda que os usuários do Adobe Reader 9.3.4 e versões anteriores para Windows, Macintosh
e UNIX atualizem para o Adobe Reader 9.4. (Para usuários do Adobe Reader no Windows e Macintosh,
que não puderem atualizar para o Adobe Reader 9.4, a Adobe fornece a atualização do Adobe Reader 8.2.5.)
É recomendável que os usuários do Adobe Acrobat 9.3.4 e versões anteriores para Windows e
Macintosh atualizem para o Adobe Acrobat 9.4. Recomendamos que os usuários do Adobe Acrobat 8.2.4 e
versões anteriores para Windows e Macintosh atualizem para o Adobe Acrobat 8.2.5.
A atualização de 5 de outubro de 2010 é um lançamento antecipado da próxima atualização
de segurança trimestral programada para 12 de outubro de 2010. Com a programação antecipada, a Adobe
não lançará atualizações adicionais para o Adobe Reader e para o Acrobat em 12 de outubro de 2010. As próximas
atualizações de segurança trimestrais para o Adobe Reader e para o Acrobat estão programadas para 8 de fevereiro de 2011.
A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:
Adobe Reader
Os usuários do Windows e do Macintosh podem usar o mecanismo de atualização do produto. A configuração
padrão está definida para executar verificações de atualização automáticas regularmente e pode ser
ativadas manualmente em Ajuda > Verificar atualizações.
Os usuários do Adobe Reader no Windows também podem encontrar a atualização adequada aqui:
http://get.adobe.com/br/reader/.
Os usuários do Adobe Reader no Macintosh também podem encontrar a atualização adequada aqui:
http://get.adobe.com/br/reader/.
Os usuários do Reader em UNIX podem encontrar a atualização apropriada aqui:*
ftp://ftp.adobe.com/pub/adobe/reader/unix/9.x/9.4.0.
*Observação: O Adobe Reader 9.4 para UNIX estará disponível no Centro de download do Adobe Reader em
http://get.adobe.com/reader/ a partir de 21 de outubro de 2010.
Adobe Acrobat
Os usuários podem utilizar o mecanismo de atualização do produto. A configuração padrão está definida para
executar verificações de atualização automáticas regularmente e pode ser ativada manualmente em Ajuda>
Verificar atualizações.
Usuários do Acrobat Standard e Pro no Windows também podem encontrar a atualização adequada aqui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Usuários do Acrobat Pro Extended no Windows também podem encontrar a atualização adequada aqui:
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.
Usuários do Acrobat 3D no Windows também podem encontrar a atualização adequada aqui:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows.
Usuários do Acrobat Pro no Macintosh também podem encontrar a atualização adequada aqui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
A Adobe classifica essas atualizações como importantes e recomenda que os usuários apliquem as atualizações mais recentes
nas instalações de seus produtos seguindo as instruções na seção "Solução" acima.
As vulnerabilidades importantes foram identificadas no Adobe Reader 9.3.4 (e versões anteriores) para
Windows, Macintosh e UNIX, Adobe Acrobat 9.3.4 (e versões anteriores) para Windows e
Macintosh, Adobe Reader 8.2.4 (e versões anteriores) e Adobe Acrobat 8.2.4 (e versões
anteriores) para Windows e Macintosh. Essas vulnerabilidades, incluindo CVE-2010-2883,
referenciado em Conselhos sobre segurança APSA10-02, e o CVE-2010-2884 referenciado no
Boletim de segurança APSB10-22 do Adobe Flash Player, poderiam causar falhas no aplicativo e permitir que um
um invasor assumisse o controle do sistema afetado.
A Adobe recomenda que os usuários do Adobe Reader 9.3.4 e versões anteriores para Windows, Macintosh
e UNIX atualizem para o Adobe Reader 9.4. (Para usuários do Adobe Reader no Windows e Macintosh,
que não puderem atualizar para o Adobe Reader 9.4, a Adobe fornece a atualização do Adobe Reader 8.2.5.)
É recomendável que os usuários do Adobe Acrobat 9.3.4 e versões anteriores para Windows e
Macintosh atualizem para o Adobe Acrobat 9.4. Recomendamos que os usuários do Adobe Acrobat 8.2.4 e
versões anteriores para Windows e Macintosh atualizem para o Adobe Acrobat 8.2.5.
Esta atualização resolve uma vulnerabilidade de validação de entrada de análise de fonte que pode levar à
execução de código (CVE-2010-2883).
Observação: Há relatórios que indicam que esse problema está sendo explorado de forma ativa e livre.
Esta atualização resolve uma vulnerabilidade de corrupção de memória no componente authplay.dll que pode
levar à execução de código (CVE-2010-2884).
Esta atualização resolve vários problemas de escalonamento de privilégios em potencial no Linux (CVE-2010-2887).
Esta atualização resolve vários erros de validação de entrada que poderiam levar à execução de código (somente
Windows, ActiveX) (CVE-2010-2888).
Esta atualização resolve uma vulnerabilidade de validação de entrada de análise de fonte que pode levar à
execução de código (CVE-2010-2889).
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-2890).
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3619).
Esta atualização resolve uma vulnerabilidade na validação de entrada de análise de imagem que pode levar à execução
de código (CVE-2010-3620).
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3621)
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3622)
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(somente plataforma Macintosh) (CVE-2010-3623).
Esta atualização resolve uma vulnerabilidade na validação de entrada de análise de imagem que pode levar à execução
de código (somente plataforma Macintosh) (CVE-2010-3624).
Essa atualização resolve uma vulnerabilidade de manipulador de protocolo de prefixo que pode levar a uma execução de código
(CVE-2010-3625)
Esta atualização resolve uma vulnerabilidade de validação de entrada de análise de fonte que pode levar à
execução de código (CVE-2010-3626).
Esta atualização resolve uma vulnerabilidade de validação de entrada que pode levar à execução de código
(CVE-2010-3627).
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3628).
Esta atualização resolve uma vulnerabilidade na validação de entrada de análise de imagem que pode levar à execução
de código (CVE-2010-3629).
Esta atualização resolve uma vulnerabilidade de negação de serviço. A execução de código arbitrário não foi
demonstrada, mas é possível (CVE-2010-3630).
Esta atualização resolve uma vulnerabilidade de indexação de matriz que pode levar à execução de código
(somente plataforma Macintosh) (CVE-2010-3631).
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3632)
Esta atualização resolve uma vulnerabilidade de memória corrompida que pode levar a uma execução de código
(CVE-2010-3658)
Esta atualização resolve um problema de negação de serviço (CVE-2010-3656).
Esta atualização resolve um problema de negação de serviço (CVE-2010-3657).
A Adobe gostaria de agradecer aos seguintes indivíduos e organizações por relatarem problemas relevantes
e por trabalhar conosco para ajudar a proteger nossos clientes:
- Relatório enviado pela Equipe de Resposta de Segurança da Red Hat (CVE-2010-2887)
- Tavis Ormandy da Equipe de segurança do Google (CVE-2010-2888, CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3626, CVE-2010-3658)
- Sebastian Apelt através do TippingPoint's Zero Day Initiative (CVE-2010-3621, CVE-2010-3622)
- James Quirk de Los Alamos, Novo México (CVE-2010-3623)
- Felipe Andres Manzano por meio da iSIGHT Partners Global Vulnerability Partnership (CVE-2010-3624)
- Billy Rios da Equipe de segurança do Google (CVE-2010-3625)
- Ricardo Narvaja da Core Security Technologies (CVE-2010-3627)
- Bing Liu do FortiGuard Labs da Fortinet (CVE-2010-3628)
- Will Dormann, da CERT (CVE-2010-3629)
- Brett Gervasoni da Sense of Security (CVE-2010-3630)
- Knud Erik Højgaard da Equipe de pesquisa de vulnerabilidades da nSense (CVE-2010-3631)
- Um relator anônimo por meio da TippingPoint's Zero Day Initiative (CVE-2010-3632)
