DFN-CERT-2014-1224 Adobe Reader und Acrobat: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

DFN-CERT-2014-1224 Adobe Reader und Acrobat: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Adobe Acrobat <= 10.1.10 Adobe Acrobat <= 10.1.11 Windows Adobe Acrobat <= 11.0.7 Adobe Acrobat <= 11.0.8 Windows Adobe Reader <= 10.1.10 Adobe Reader <= 10.1.11 Windows Adobe Reader <= 11.0.7 Adobe Reader <= 11.0.8 Windows Betroffene Plattformen: Apple Mac OS X Microsoft Windows Mehrere Schwachstellen in Adobe Reader und Acrobat führen in den meisten Fällen dazu, dass ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode ausführen, bzw. in einem Fall möglicherweise einen Denial-of-Service (DoS)-Angriff durchführen und in einem anderen Falle nativen Programmcode mit höheren Rechten ausführen kann. Die meisten der Schwachstellen betreffen Windows- und Macintosh-Plattformen, während CVE-2014-0562 nur für Macintosh und CVE-2014-0568 nur für Windows relevant sind. Patch: Adobe Security Bulletin APSB14-20 http://helpx.adobe.com/security/products/reader/apsb14-20.html

CVE-2014-0568: Sandbox-Bypass-Schwachstelle auf Windows erlaubt
Privilegieneskalation

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows erlaubt die
Sandbox-Beschränkungen zu umgehen. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um nativen Programmcode mit
höheren Rechten auszuführen.

CVE-2014-0567: Heap-Overflow-Schwachstelle erlaubt das Ausführen von
Programmcode

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt zu einem Heap-Speicherüberlauf. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2014-0566: Memory-Corruption-Schwachstelle erlaubt das Ausführen von
Programmcode

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt zur Speicherkorruption. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2014-0565: Memory-Corruption-Schwachstelle erlaubt das Ausführen von
Programmcode

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt zur Speicherkorruption. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2014-0563: Memory-Corruption-Schwachstelle erlaubt Denial-of-Service
(DoS)

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt zur Speicherkorruption. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um
möglicherweise einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-0562: Schwachstelle in Acrobat / Reader auf Macintosh erlaubt
Universal-Cross-Site-Scripting

Eine Schwachstelle wurde in Adobe Acrobat und Adobe Reader für Macintosh
festgestellt. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um Universal-Cross-Site-Scripting (UXSS)-Angriffe
durchzuführen.

CVE-2014-0561: Heap-Overflow-Schwachstelle erlaubt das Ausführen von
Programmcode

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt zu einem Heap-Speicherüberlauf. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2014-0560: Use-after-free-Schwachstelle erlaubt das Ausführen von
Programmcode

Eine Schwachstelle in Adobe Acrobat und Adobe Reader für Windows und
Macintosh führt dazu, dass Speicher verwendet werden kann, nachdem dieser
freigegeben wurde. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1224/

Adobe Security Bulletin APSB14-20:
http://helpx.adobe.com/security/products/reader/apsb14-20.html

Schwachstelle CVE-2014-0560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0560

Schwachstelle CVE-2014-0561 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0561

Schwachstelle CVE-2014-0562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0562

Schwachstelle CVE-2014-0563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0563

Schwachstelle CVE-2014-0565 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0565

Schwachstelle CVE-2014-0566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0566

Schwachstelle CVE-2014-0567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0567

Schwachstelle CVE-2014-0568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0568

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben