Acrobat Reader 8.1.7 behebt mehrere Sicherheitslücken: http://www.adobe.com/support/security/bulletins/apsb09-15.html: CVE-2009-2564, CVE-2009-2979, CVE-2009-2980, CVE-2009-2981, CVE-2009-2982, CVE-2009-2983, CVE-2009-2984, CVE-2009-2985, CVE-2009-2986, CVE-2009-2988, CVE-2009-2990, CVE-2009-2991, CVE-2009-2993, CVE-2009-2994, CVE-2009-2996, CVE-2009-2997, CVE-2009-2998, CVE-2009-3431, CVE-2009-3458, CVE-2009-3459, CVE-2009-3462 - Speicherzugriffsfehler können zum Ausführen von Schadcode führen (CVE-2009-2985, CVE-2009-2983, CVE-2009-2996) - Mehrere Heap-Overflows können zum Ausführen von Schadcode führen (CVE-2009-2986). - Ein unsicherer Array-Zugriff kann zum Ausführen von Schadcode führen (CVE-2009-2990). - Ein Fehler in der Firefox-Plugin-Schnittstelle kann zum Ausführen von Schadcode führen (CVE-2009-2991). - Fehlende Eingabenprüfungenn können zum Ausführen von Schadcode führen (CVE-2009-2993, CVE-2009-2998, CVE-2009-3458). - Mehrere Bufferoverflows können zum Ausführen von Schadcode führen (CVE-2009-2994, CVE-2009-3431). - Ein Heapoverflow kann zum Ausführen von Schadcode führen (CVE-2009-2997). - Ein Integeroverflow kann zum Ausführen von Schadcode führen (CVE-2009-2980) - Eine Formatstring-Lücke konnte zum Ausführen von Schadcode führen (CVE-2009-3462). - Ein Fehler im Code zur Verarbeitung von Bildern kann zum Ausführen von Schadcode führen (CVE-2009-2984). - Fehlende Eingabenprüfungen konnten dazu führen, dass Einstellungen für vertrauenswürdige Quellen umgangen werden konnten (CVE-2009-2981). - Fehlerhafte Zertifikatsverarbeitung konnte zu Spoofing-Attacken führen (CVE-2009-2982). - In der Verarbeitung von XMP-XML-Daten wurde eine Denial-of-Service-Sicherheitslücke gefunden (CVE-2009-2979). - Eine fehlende Eingabenbereinigung konnte zu Denial of Service führen (CVE-2009-2988). - Eine Fehler im Addon-Manager konnte zum Ausweiten von Berechtigungen führen (CVE-2009-2564). Es gibt Berichte, dass zumindest eine der Lücken entdeckt wurden, in dem ein Exploit analysiert wurde: http://www.fortiguard.com/analysis/pdfanalysis.html
In den nächsten Hotfix.
Es stehen noch keine Linux-Pakete für 8.1.7 zum Download zur Verfügung, unter http://get.adobe.com/de/reader/otherversions/ finden sich nur 8.1.6-Pakete.
(In reply to comment #2) > Es stehen noch keine Linux-Pakete für 8.1.7 zum Download zur Verfügung, unter > http://get.adobe.com/de/reader/otherversions/ finden sich nur 8.1.6-Pakete. Es sind weiterhin nur 8.1.6 Pakete zu finden.
Ist jetzt unter ftp://ftp.adobe.com/pub/adobe/reader/unix/8.x/8.1.7/ zu finden.
Die Upstream Version 8.1.7 der AdobeReader Pakete wurden in den Scope kopiert und Architektur und Conflicts angepasst: shell$ for i in ucs_2.2-0-sec2.2-4/extern/AdobeReader-*8.1.7*; do echo Package: $i; dpkg -f $i Conflicts ; done Package: ucs_2.2-0-sec2.2-4/extern/AdobeReader-deu_8.1.7-1_amd64.deb acroread-de (<< 8.1.7), adobereader-enu Package: ucs_2.2-0-sec2.2-4/extern/AdobeReader-deu_8.1.7-1_i386.deb acroread-de (<< 8.1.7), adobereader-enu Package: ucs_2.2-0-sec2.2-4/extern/AdobeReader-enu_8.1.7-1_amd64.deb acroread (<< 8.1.7), adobereader-deu Package: ucs_2.2-0-sec2.2-4/extern/AdobeReader-enu_8.1.7-1_i386.deb acroread (<< 8.1.7), adobereader-deu Die Meta-Packages acroread und acroread-de wurden auf Version 8.1.7 angepasst und bauen gerade neu. Changelog für ucs_2.2-0-sec4 wurde angepasst.
Für alle vier Varianten (amd64/i386, de/en) wurden die PDFs aus dem PDF-Testverfahren geprüft, die interne Versionsnummer gegengeprüft und die Browser-Integration getestet. Alles funktionierte wie erwartet.