Freigabedatum: 12. Januar 2010
Kennung der Sicherheitslücke: APSB10-02
CVE-Nummern: CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324
Plattform: Alle Plattformen
In Adobe Reader 9.2 und Adobe Acrobat 9.2 für Windows, Macintosh und UNIX sowie Adobe Reader 8.1.7 und Adobe Acrobat 8.1.7 für Windows und Macintosh wurden verschiedene kritische Sicherheitslücken entdeckt. Diese Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Adobe Reader 9.2 und Adobe Acrobat 9.2 sowie früheren Versionen für Windows, Macintosh und UNIX die Aktualisierung auf Version 9.3. Anwendern von Acrobat 8.1.7 und früheren Versionen für Windows and Macintosh wird die Aktualisierung auf Version 8.2 empfohlen. Für Anwender von Adobe Reader für Windows oder Macintosh, die nicht auf Adobe Reader 9.3 aktualisieren können, hat Adobe ein Update auf Version 8.2 bereitgestellt. Die Updates gelten für Windows, Macintosh und UNIX.
Adobe Reader 9.2 und früher für Windows, Macintosh und UNIX
Adobe Acrobat 9.2 und früher für Windows und Macintosh
Adobe Reader
Anwender von Adobe Reader für Windows, Macintosh und UNIX finden das entsprechende Update unter:
http://get.adobe.com/reader
Adobe Acrobat
Anwender von Adobe Acrobat Standard und Pro für Windows finden das entsprechende Update unter:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Anwender von Adobe Acrobat Pro Extended für Windows können das entsprechende Update unter dem folgenden Link herunterladen: www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows*
Anwender von Acrobat 3D für Windows können das Update hier herunterladen:
www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*
Das Update für Anwender von Acrobat Pro für Macintosh ist unter dem folgenden Link verfügbar:
www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Hinweis: Der Support für die UNIX-Version von Adobe Reader 8.x und die Windows-, Macintosh- und UNIX-Versionen von Adobe Reader 7.x und Adobe Acrobat 7.x* wurde eingestellt.
Adobe stuft dieses Problem als kritisch ein. Die Aktualisierung wird allen Anwendern von Adobe Reader und Adobe Acrobat empfohlen.
In Adobe Reader 9.2 und Adobe Acrobat 9.2 für Windows, Macintosh und UNIX sowie Adobe Reader 8.1.7 und Adobe Acrobat 8.1.7 für Windows und Macintosh wurden verschiedene kritische Sicherheitslücken entdeckt. Diese Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Adobe Reader 9.2 und Adobe Acrobat 9.2 sowie früheren Versionen für Windows, Macintosh und UNIX die Aktualisierung auf Version 9.3. Anwendern von Acrobat 8.1.7 und früheren Versionen für Windows and Macintosh wird die Aktualisierung auf Version 8.2 empfohlen. Für Anwender von Adobe Reader für Windows oder Macintosh, die nicht auf Adobe Reader 9.3 aktualisieren können, hat Adobe ein Update auf Version 8.2 bereitgestellt. Die Updates gelten für Windows, Macintosh und UNIX.
Mit diesem Update wird ein Use-after-free-Fehler in der Multimedia-API behoben, der die Ausführung von Code ermöglicht (CVE-2009-4324).
Hinweis: Adobe sind Fälle bekannt, in denen diese Sicherheitslücke bereits bei Adobe Reader 9.2 und Adobe Acrobat 9.2 unter Windows ausgenutzt wurde.
Das Update löst ein Problem beim Überschreiten der Array-Grenze bei U3D-Dateien, das die Ausführung von Code ermöglicht (CVE-2009-3953).
Hinweis: Diese Schwachstelle wurde irrtümlicherweise auf eine bereits geschlossene Sicherheitslücke im Metasploit-Framework zurückgeführt (CVE-2009-2994).
Dieses Update behebt eine Sicherheitslücke beim Laden von DLL-Dateien im 3D-Modus, die die Ausführung von schädlichem Code ermöglicht (CVE-2009-3954).
Das Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-3955).
Dieses Update behebt eine Schwachstelle, die bei Änderung der Standardeinstellungen für erweiterte Sicherheit die Manipulation von Skripten ermöglicht (CVE-2009-3956).
Dieses Update schließt eine Sicherheitslücke, die aufgrund einer fehlerhaften Nullzeiger-Referenzierung entstehen und einen Denial-of-Service hervorrufen kann (CVE-2009-3957).
Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs im Download Manager entsteht und die Ausführung von Code ermöglicht (CVE-2009-3958).
Das Update behebt eine Schwachstelle, die aufgrund eines Ganzzahlüberlaufs bei U3D-Dateien entsteht und die Ausführung von Code ermöglicht (CVE-2009-3959).
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden:
