發行日期: 2009 年 3 月 18 日
上次更新: 2009 年3 月 24 日
弱點識別碼: APSB09-04
CVE 編號: CVE-2009-0658、CVE-2009-0927、CVE-2009-0193、CVE-2009-0928、CVE-2009-1061、CVE-2009-1062
平台: 所有平台
已在 Adobe Reader 9 和 Acrobat 9 與更舊版本中發現有多項重大弱點。這些弱點會造成應用程式當機, 但是攻擊者可利用這些弱點控制受影響的系統。目前已有通報指出此弱點已遭利用 (CVE-2009-0658)。
Adobe 建議 Adobe Reader 和 Acrobat 9 使用者更新至 Adobe Reader 9.1 和 Acrobat 9.1。Adobe 建議 Acrobat 8 使用者更新至 Acrobat 8.1.4, Acrobat 7 使用者更新至 Acrobat 7.1.1。至於無法更新至 Adobe Reader 9.1 的 Adobe Reader 使用者, Adobe 已提供 Adobe Reader 8.1.4 和 Adobe Reader 7.1.1 更新。
這些更新解決安全性建議 APSA09-01 和安全性公告 APSB09-03 中所通報的問題。之前已更新至 Adobe Reader 9.1 和 Acrobat 9.1 的 Windows 與 Macintosh 使用者毋需採取任何動作。
自 3 月 24 日起, Adobe 也將推出 Unix 版本的 Adobe Reader 9.1 和 Adobe Reader 8.1.4 更新。
Adobe Reader 9 或更舊版本
Adobe Acrobat 9 Standard、Pro 和 Pro Extended 及舊版
Adobe Reader
Adobe 建議 Adobe Reader 使用者從以下網址更新至 Adobe Reader 9.1:
http://get.adobe.com/reader/
無法更新至 Adobe Reader 9.1 的 Adobe Reader 7.0 到 8.1.3 使用者應透過以下其中一個連結更新至 Adobe Reader 8.1.4 或 Adobe Reader 7.1.1:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix*
Acrobat 9
Adobe 建議 Windows 版的 Acrobat 9 Standard 和 Acrobat 9 Pro 使用者可透過以下網址更新至 Acrobat 9.1:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4375*
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4382*
Adobe 建議 Windows 版的 Acrobat 9 Pro Extended 使用者可從這裡升級至 Acrobat 9.1:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4381*
Adobe 建議 Macintosh 版的 Acrobat 9 Pro 使用者可從這裡升級至 Acrobat 9.1:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4374*
Acrobat 8
Adobe 建議 Windows 版的 Acrobat 8 使用者可從以下網址升級至 Acrobat 8.1.4:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Adobe 建議 Macintosh 版的 Acrobat 8 使用者可從以下網址升級至 Acrobat 8.1.4:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Adobe 建議 Windows 版的 Acrobat 3D 8 版使用者可從以下網址升級至 Acrobat 3D 8.1.4 版:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*
Acrobat 7
Adobe 建議 Windows 版的 Acrobat 7 使用者可從以下網址升級至 Acrobat 7.1.1:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Adobe 建議 Macintosh 版的 Acrobat 7 使用者可從以下網址升級至 Acrobat 7.1.1:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Adobe 建議 Windows 版的 Acrobat 3D 7 版使用者可從以下網址升級至 Acrobat 3D 7.1.1 版:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*
Adobe 將此歸類為重大更新, 並建議使用者更新他們所安裝的產品。
已在 Adobe Reader 和 Acrobat 9 與更舊版本中發現有多項重大弱點。這些弱點會造成應用程式當機, 但是攻擊者可利用這些弱點控制受影響的系統。
Adobe 建議 Acrobat 和 Adobe Reader 使用者依照上述指示更新至 9.1、8.1.4 或 7.1.1 版本, 以保障不受這些潛在弱點威脅。
這些更新解決安全性建議 APSA09-01 和安全性公告 APSB09-03 中所通報的 JBIG2 緩衝區溢位問題 (CVE-2009-0658)
注意: 目前已有通報指出此弱點已遭利用
這些更新會解決其他可能會導致遠端程式碼執行的 JBIG2 輸入驗證問題。(CVE-2009-0193、CVE-2009-0928、CVE-2009-1061、CVE-2009-1062)
Adobe Reader 和 Acrobat 9.1 及 7.1.1 更新程式可解決 JavaScript 方法中可能會導致遠端程式碼執行的輸入驗證問題。此問題已在 Adobe Reader 8.1.3 和 Acrobat 8.1.3 中解決。(CVE-2009-0927)
Adobe Reader 7.1.1 和 Acrobat 7.1.1 更新解決之前 Adobe Reader 和 Acrobat 8.1.3 與更新版本, 以及 Adobe Reader 和 Acrobat 9 與更新版本中解決的問題。(CVE-2008-4814、CVE-2008-4813、CVE-2008-2549)
此外, 使用者也可能需要檢視 Adobe Product Security Incident Response Team 部落格的最新資訊, 網址為: http://blogs.adobe.com/psirt*, 或在這裡訂閱 RSS 饋送: http://blogs.adobe.com/psirt/*。
Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護客戶的安全:
2009 年 3 月 24 日 – 公告更新有關 Unix 版本的 Adobe Reader 9.1 和 Adobe Reader 8.1.4 更新和其他 JBIG2 問題
2009 年 3 月 18 日 – 公告內容初次建立
