Atualizações de segurança disponíveis para o Adobe Acrobat e Reader

Data de lançamento: 6 de outubro de 2016

Última atualização: 10 de novembro de 2016

Identificador de vulnerabilidade: APSB16-33

Prioridade: 2

Números de CVE: CVE-2016-1089, CVE-2016-1091, CVE-2016-4095, CVE-2016-6939, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6947, CVE-2016-6948, CVE-2016-6949, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6957, CVE-2016-6958, CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6970, CVE-2016-6971, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854

Plataformas: Windows e Macintosh

CVE-2016-6937
CVE-2016-6937

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.

Versões afetadas

Produto Track Versões afetadas Plataforma
Acrobat DC Contínuo 15.017.20053 e versões anteriores
Windows e Macintosh
Acrobat Reader DC Contínuo 15.017.20053 e versões anteriores
Windows e Macintosh
       
Acrobat DC Clássico 15.006.30201 e versões anteriores
Windows e Macintosh
Acrobat Reader DC Clássico 15.006.30201 e versões anteriores
Windows e Macintosh
       
Acrobat XI Desktop 11.0.17 e versões anteriores Windows e Macintosh
Reader XI Desktop 11.0.17 e versões anteriores Windows e Macintosh

Para questões referentes ao Acrobat DC, visite a página de Perguntas frequentes do Acrobat DC. Para questões referentes ao Acrobat Reader DC, visite a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as instruções abaixo.

As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações. 
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas. 
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM (Windows), ou no Macintosh, Apple Remote Desktop e em SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Track Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC Contínuo 15.020.20039
Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader DC Contínuo 15.020.20039
Windows e Macintosh 2 Centro de downloads
           
Acrobat DC Clássico 15.006.30243
Windows e Macintosh
2 Windows
Macintosh
Acrobat Reader DC Clássico 15.006.30243
Windows e Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.18 Windows e Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.18 Windows e Macintosh 2 Windows
Macintosh

Detalhes da vulnerabilidade

  • Essas atualizações resolvem vulnerabilidades de uso após liberação de memória que podem levar à execução do código (CVE-2016-1089, CVE-2016-1091, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6949, CVE-2016-6952, CVE-2016-6953, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6971, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993).
  • Essas atualizações resolvem vulnerabilidades do buffer de pilha que poderiam levar à execução do código (-6939, CVE-2016-, CVE-2016-6994).
  • Essas atualizações resolvem vulnerabilidades de corrupção de memória que poderiam levar à execução de código (CVE-2016-4095, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6947, CVE-2016-6948, CVE-2016-6950, CVE-2016-6951, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6959, CVE-2016-6960, CVE-2016-6966, CVE-2016-6970, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854).
  • Essas atualizações resolvem vários métodos para ignorar restrições na execução de API de Javascript (CVE-2016-6957).
  • Essas atualizações resolvem uma vulnerabilidade de atalho de segurança (CVE-2016-6958).
  • Essas atualizações resolvem uma vulnerabilidade de estouro de integridade que pode levar à execução de código (CVE-2016-6999).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • Steven Seeley da Source Incite que trabalha com o iDefense (CVE-2016-6949)
  • Jaanus Kääp da Clarified Security (CVE-2016-1089, CVE-2016-1091, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956)
  • Steven Seeley da Source Incite que trabalha com a Zero Day Initiative da Trend Micro (CVE-2016-6971)
  • Kushal Arvind Shah dos laboratórios FortiGuard Labs da Fortinet (CVE-2016-6948)
  • Dmitri Kaslov (CVE-2016-7012)
  • AbdulAziz Hariri da Zero Day Initiative da Trend Micro (CVE-2016-6944, CVE-2016-6945)
  • Ke Liu, do Xuanwu LAB da Tencent (CVE-2016-4095, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853)
  • kdot, que trabalha na Zero Day Initiative da Trend Micro (CVE-2016-6940, CVE-2016-6941, CVE-2016-7854)
  • Wei Lei e Liu Yang da Nanyang Technological University trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-6969)
  • Aakash Jain e Dhanesh Kizhakkinan da FireEye Inc. (CVE-2016-6943)
  • Sebastian Apelt Siberas que trabalha com a Zero Day Initiative da Trend Micro (CVE-2016-6942, CVE-2016-6946, CVE-2016-6947, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6988)
  • Anonimamente reportado por meio da Zero Day Initiative da Trend Micro (CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6979)
  • Abdulrahman Alqabandi (CVE-2016-6970)
  • Wei Lei e Liu Yang da Nanyang Technological University trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-6978)
  • Kai Lu, do Fortinet's FortiGuard Labs (CVE-2016-6939)
  • Gal De Leon da Palo Alto Networks (CVE-2016-6957, CVE-2016-6958)

Revisões

21 de outubro de 2016: adicionadas referências aos CVE-2016-7852, CVE-2016-7853 e CVE-2016-7854, que haviam sido omitidos inadvertidamente do boletim.

10 de novembro de 2016: adicionadas referências ao CVE-2016-4095, que havia sido omitido inadvertidamente do boletim.