Freigabedatum: 7. Juli 2016
Letzte Aktualisierung: 12. September 2016
Kennung der Sicherheitslücke: APSB16-26
Priorität: 2
CVE-Nummern: CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938
Plattform: Windows und Macintosh
Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Produkt | Überwachen | Betroffene Versionen | Plattform |
---|---|---|---|
Adobe Acrobat DC | Fortlaufend | 15.016.20045 und frühere Versionen |
Windows und Macintosh |
Acrobat Reader DC | Fortlaufend | 15.016.20045 und frühere Versionen |
Windows und Macintosh |
Adobe Acrobat DC | Klassisch | 15.006.30174 und frühere Versionen |
Windows und Macintosh |
Acrobat Reader DC | Klassisch | 15.006.30174 und frühere Versionen |
Windows und Macintosh |
Acrobat XI | Nur Desktop-Applikation | 11.0.16 und frühere Versionen | Windows und Macintosh |
Reader XI | Nur Desktop-Applikation | 11.0.16 und frühere Versionen | Windows und Macintosh |
Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.
Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:
- Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
- Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
- Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
- Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
- Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt | Überwachen | Aktualisierte Versionen | Plattform | Priorität | Verfügbarkeit |
---|---|---|---|---|---|
Adobe Acrobat DC | Fortlaufend | 15.017.20050 | Windows und Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC | Fortlaufend | 15.017.20050 | Windows und Macintosh | 2 | Download-Center |
Adobe Acrobat DC | Klassisch | 15.006.30198 | Windows und Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC | Klassisch | 15.006.30198 |
Windows und Macintosh | 2 | Windows Macintosh |
Acrobat XI | Nur Desktop-Applikation | 11.0.17 | Windows und Macintosh | 2 | Windows Macintosh |
Reader XI | Nur Desktop-Applikation | 11.0.17 | Windows und Macintosh | 2 | Windows Macintosh |
- Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2016-4210).
- Diese Updates schließen eine Use-after-free-Sicherheitslücke, die die Ausführung von Code ermöglicht (CVE-2016-4255, CVE-2016-6938).
- Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2016-4209).
- Diese Updates verhindern verschiedene Methoden zum Umgehen von Einschränkungen bei der JavaScript-API-Ausführung (CVE-2016-4215).
- Diese Updates schließen Speicherbeschädigungs-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
- Jaanus Kääp von Clarified Security, Ke Liu von Tencent's Xuanwu LAB und Sébastien Morin von COSIG (CVE-2016-4201)
- Kai Lu von Fortinets FortiGuard Labs, Jaanus Kääp von Clarified Security, Ke Liu von Tencent's Xuanwu LAB und Sébastien Morin von COSIG (CVE-2016-4203)
- Sébastien Morin von COSIG und Ke Liu von Tencent's Xuanwu LAB (CVE-2016-4208)
- Jaanus Kääp von Clarified Security (CVE-2016-4252)
- Wei Lei Sun Zhihao und Liu Yang von der Nanyang Technological University, die für die Zero Day Initiative von Trend Micro arbeiten (CVE-2016-4198)
- Alex Inführ und Masato Kinugawa von Cure53 (CVE-2016-4215)
- Ke Liu von Tencent's Xuanwu LAB (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
- AbdulAziz Hariri, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
- Sébastien Morin von COSIG (CVE-2016-4206, CVE-2016-4207)
- kdot in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2016-4191, CVE-2016-4270)
- Stanko Jankovic (CVE-2016-4192)
- Jaanus Kp von Clarified Security, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4255, CVE-2016-4251)
- Sébastien Morinuand und Pier-Luc Maltais von COSIG (CVE-2016-4204, CVE-2016-4205)
- Steven Seeley von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938)
12. Juli 2016: CVE-2016-4189 und CVE-2016-4190 wurden jeweils durch CVE-2016-4254 und CVE-2016-4255 ersetzt.
23. August 2016: Verweise auf CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 und CVE-2016-4270 wurden hinzugefügt, die versehentlich nicht im Bulletin aufgeführt wurden.
12. September 2016: Verweise auf CVE-2016-6937 und CVE-2016-6938 wurden hinzugefügt, die versehentlich nicht im Bulletin aufgeführt wurden.