Freigabedatum: 13. Oktober 2009
Kennung der Sicherheitslücke: APSB09-15
CVE-Nummern: CVE-2007-0048, CVE-2007-0045, CVE-2009-2564, CVE-2009-2979, CVE-2009-2980, CVE-2009-2981, CVE-2009-2982, CVE-2009-2983, CVE-2009-2984, CVE-2009-2985, CVE-2009-2986, CVE-2009-2987, CVE-2009-2988, CVE-2009-2989, CVE-2009-2990, CVE-2009-2991, CVE-2009-2992, CVE-2009-2993, CVE-2009-2994, CVE-2009-2995, CVE-2009-2996, CVE-2009-2997, CVE-2009-2998, CVE-2009-3431, CVE-2009-3458, CVE-2009-3459, CVE-2009-3460, CVE-2009-3461, CVE-2009-3462
Plattform: Alle Plattformen
In Adobe Reader 9.1.3 und Adobe Acrobat 9.1.3, Adobe Reader 8.1.6 und Acrobat 8.1.6 für Windows, Macintosh und UNIX sowie Adobe Reader 7.1.3 und Acrobat 7.1.3 für Windows und Macintosh wurden verschiedene kritische Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Dieses Update ist das zweite vierteljährliche Sicherheits-Update für Adobe Reader und Adobe Acrobat.
Adobe empfiehlt Anwendern von Adobe Reader 9.1.3 und Adobe Acrobat 9.1.3 sowie früheren Versionen, das Update auf Version 9.2 zu installieren. Anwender von Acrobat 8.1.6 und früher sowie Acrobat 7.1.3 und früher sollten auf Version 8.1.7 bzw. 7.1.4 aktualisieren. Für Anwender von Adobe Reader, die nicht auf Adobe Reader 9.2 aktualisieren können, hat Adobe Updates auf Adobe Reader 8.1.7 und Adobe Reader 7.1.4 bereitgestellt. Die Updates gelten für Windows, Macintosh und UNIX.
Adobe Reader 9.1.3 und früher für Windows, Macintosh und UNIX
Adobe Acrobat 9.1.3 und früher für Windows und Macintosh
Adobe Reader
Anwender von Adobe Reader für Windows können das entsprechende Update unter dem folgenden Link herunterladen: www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*.
Macintosh-Anwender finden das Update unter www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*.
Das Update für UNIX-Anwender steht unter diesem Link bereit: www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix*.
Acrobat
Anwender von Adobe Acrobat Standard und Pro für Windows finden das entsprechende Update unter
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*.
Anwender von Adobe Acrobat Pro Extended für Windows können das entsprechende Update unter dem folgenden Link herunterladen: www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows*
Anwender von Acrobat 3D für Windows können das Update hier herunterladen:
www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*.
Das Update für Anwender von Acrobat Pro für Macintosh ist unter dem folgenden Link verfügbar:
www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*.
Adobe stuft dieses Update als kritisch ein.
In Adobe Reader 9.1.3 und Adobe Acrobat 9.1.3, Adobe Reader 8.1.6 und Acrobat 8.1.6 für Windows, Macintosh und UNIX sowie Adobe Reader 7.1.3 und Acrobat 7.1.3 für Windows und Macintosh wurden verschiedene kritische Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Dieses Update ist das zweite vierteljährliche Sicherheits-Update für Adobe Reader und Adobe Acrobat.
Adobe empfiehlt Anwendern von Adobe Reader 9.1.3 und Adobe Acrobat 9.1.3 sowie früheren Versionen, das Update auf Version 9.2 zu installieren. Anwender von Acrobat 8.1.6 und früher sowie Acrobat 7.1.3 und früher sollten auf Version 8.1.7 bzw. 7.1.4 aktualisieren. Für Anwender von Adobe Reader, die nicht auf Adobe Reader 9.2 aktualisieren können, hat Adobe Updates auf Adobe Reader 8.1.7 und Adobe Reader 7.1.4 bereitgestellt. Die Updates gelten für Windows, Macintosh und UNIX.
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2009-3459).
HINWEIS: Adobe sind Fälle bekannt, in denen diese Sicherheitslücke gezielt ausgenutzt wurde.
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-2985).
Dieses Update behebt mehrere Fehler aufgrund eines Heap-Überlaufs, die die Ausführung von Code ermöglichen (CVE-2009-2986).
Durch dieses Update wird eine Sicherheitslücke geschlossen, die aufgrund eines ungültigen Array-Index entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-2990).
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Dieses Update behebt eine Schwachstelle, die nur bei Verwendung des Mozilla-Plug-ins auftritt. Sie ermöglicht einem Angreifer durch externe Exploits die Ausführung von schädlichem Code mit den Zugriffsrechten des jeweiligen Anwenders. (CVE-2009-2991)
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 8.1.7 und Adobe Acrobat 8.1.7 behoben.
Dieses Update behebt mehrere Fehler bei der Eingabevalidierung, die die Ausführung von Code ermöglichen (CVE-2009-2993).
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2009-2994).
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2009-2997).
Durch dieses Update werden Fehler bei der Eingabevalidierung behoben, die die Ausführung von Code ermöglichen (CVE-2009-2998).
Dieses Update behebt Fehler bei der Eingabevalidierung, die die Ausführung von Code ermöglichen (CVE-2009-3458).
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht. Das Problem tritt nur in Acrobat auf; Adobe Reader ist nicht betroffen. (CVE-2009-3460)
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Acrobat 9.2 bzw. Acrobat 8.1.7 behoben.
Durch dieses Update wird ein Ganzzahlüberlauf behoben, der die Ausführung von Code ermöglicht. Das Problem tritt nur in Acrobat auf; Adobe Reader ist nicht betroffen. (CVE-2009-2989)
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Acrobat 9.2 bzw. Acrobat 8.1.7 behoben.
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen und ein Denial-of-Service hervorrufen kann. Die Ausführung von schädlichem Code wurde bislang nicht gemeldet, ist jedoch möglich. (CVE-2009-2983)
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Durch dieses Update wird ein Ganzzahlüberlauf behoben, der ein Denial-of-Service hervorrufen kann. Die Ausführung von schädlichem Code wurde bislang nicht gemeldet, ist jedoch möglich. (CVE-2009-2980)
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen und ein Denial-of-Service hervorrufen kann. Die Ausführung von schädlichem Code wurde bislang nicht gemeldet, ist jedoch möglich. (CVE-2009-2996)
Durch dieses Update wird eine Sicherheitslücke bei der Verwendung von UNIX im Debug-Modus geschlossen, die die Ausführung von schädlichem Code ermöglicht (CVE-2009-3462).
Durch dieses Update werden Fehler bei der Image-Decodierung behoben, die ein Denial-of-Service hervorrufen können. Die Ausführung von schädlichem Code wurde bislang nicht gemeldet, ist jedoch möglich. Das Problem tritt nur in Acrobat auf; Adobe Reader ist nicht betroffen. (CVE-2009-2984)
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Acrobat 9.2 behoben.
Durch dieses Update werden Fehler bei der Eingabevalidierung behoben, die das Umgehen von Trust-Manager-Einschränkungen ermöglichen (CVE-2009-2981).
Dieses Update schließt eine Sicherheitslücke, die es einem böswilligen Anwender ermöglicht, Sicherheitsfunktionen für Dateierweiterungen zu umgehen. Das Problem tritt nur in Acrobat 9.x auf. (CVE-2009-3461)
Mit diesem Update wird ein Zertifikat korrigiert, das für einen Social-Engineering-Angriff missbraucht werden könnte (CVE-2009-2982).
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Stapelüberlaufs entsteht und einen Denial-of-Service-Angriff hervorrufen kann (CVE-2009-3431).
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Dieses Update schließt eine Sicherheitslücke bei der Erweiterung von XMP-XML-Entitäten, die einen Denial-of-Service-Angriff hervorrufen kann (CVE-2009-2979).
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Durch dieses Update wird eine Sicherheitslücke im ActiveX-Steuerelement behoben (nur Windows), die einen externen Denial-of-Service-Angriff hervorrufen kann (CVE-2009-2987).
Durch dieses Update werden Fehler bei der Eingabevalidierung behoben, die ein Denial-of-Service hervorrufen können (CVE-2009-2988).
Dieses Update behebt Fehler bei der Eingabevalidierung des ActiveX-Steuerelements, die einen Denial-of-Service-Angriff hervorrufen können (CVE-2009-2992).
HINWEIS: Dieses Problem wird mit der Aktualisierung auf Adobe Reader 9.2 und Adobe Acrobat 9.2 bzw. Adobe Reader 8.1.7 und Acrobat 8.1.7 behoben.
Durch dieses Update wird ein Ganzzahlüberlauf behoben, der ein Denial-of-Service hervorruft. Das Problem tritt nur in Acrobat auf; Adobe Reader ist nicht betroffen. (CVE-2009-2995)
Dieses Update schließt eine Sicherheitslücke bei lokalen Zugriffsrechten, die entsteht, wenn Adobe Reader für Webdownloads ein Drittanbieterprodukt nutzt (CVE-2009-2564).
Das Update behebt ein Problem mit Cross-Site-Scripting bei einer Verwendung des Browser-Plug-ins mit Google Chrome und Opera (CVE-2007-0048, CVE-2007-0045).
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
13. Oktober 2009 – Bulletin mit Details aktualisiert
8. Oktober 2009 – Hinweis erstellt
