Adobe 安全公告

Adobe Acrobat 和 Reader 的可用安全更新

发布日期:2015 年 10 月 13 日

上次更新日期:2015 年 12 月 11 日

漏洞标识符:APSB15-24

优先级:请参见下表

CVE 编号: CVE-2015-5583、CVE-2015-5586、CVE-2015-6683, CVE-2015-6684、CVE-2015-6685、CVE-2015-6686、CVE-2015-6687、CVE-2015-6688、CVE-2015-6689、CVE-2015-6690、CVE-2015-6691、CVE-2015-6692、CVE-2015-6693、CVE-2015-6694、CVE-2015-6695、CVE-2015-6696、CVE-2015-6697、CVE-2015-6698、CVE-2015-6699、CVE-2015-6700、CVE-2015-6701、CVE-2015-6702、CVE-2015-6703、CVE-2015-6704、CVE-2015-6705、CVE-2015-6706、CVE-2015-6707、CVE-2015-6708、CVE-2015-6709、CVE-2015-6710、CVE-2015-6711、CVE-2015-6712、CVE-2015-6713、CVE-2015-6714、CVE-2015-6715、CVE-2015-6716、CVE-2015-6717、CVE-2015-6718、CVE-2015-6719、CVE-2015-6720、CVE-2015-6721、CVE-2015-6722、CVE-2015-6723、CVE-2015-6724、CVE-2015-6725、CVE-2015-7614、CVE-2015-7615、CVE-2015-7616、CVE-2015-7617、CVE-2015-7618、CVE-2015-7619、CVE-2015-7620、CVE-2015-7621、CVE-2015-7622、CVE-2015-7623、CVE-2015-7624、CVE-2015-7650、CVE-2015-8458

平台:Windows 和 Macintosh

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 Track 受影响的版本 平台
Acrobat DC Continuous 2015.008.20082 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Continuous 2015.008.20082 及更早版本
Windows 和 Macintosh
       
Acrobat DC Classic 2015.006.30060 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Classic 2015.006.30060 及更早版本
Windows 和 Macintosh
       
Acrobat XI Desktop 11.0.12 及更早版本 Windows 和 Macintosh
Reader XI Desktop 11.0.12 及更早版本 Windows 和 Macintosh
       
Acrobat X Desktop 10.1.15 及更早版本 Windows 和 Macintosh
Reader X Desktop 10.1.15 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的疑问,请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。 
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境): 

  • 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。
产品 Track 更新版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2015.009.20069
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC Continuous 2015.009.20069
Windows 和 Macintosh 2 下载中心
           
Acrobat DC Classic 2015.006.30094
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC Classic 2015.006.30094
Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.13 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.13 Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat X Desktop 10.1.16 Windows 和 Macintosh 2 Windows
Macintosh
Reader X Desktop 10.1.16 Windows 和 Macintosh 2 Windows
Macintosh

漏洞详情

  • 这些更新修复了可能导致信息泄露的缓冲区溢出漏洞 (CVE-2015-6692)。
  • 这些更新修复了可能导致代码执行的释放后使用 (use-after-free) 漏洞(CVE-2015-6689、CVE-2015-6688、CVE-2015-6690、CVE-2015-7615、CVE-2015-7617、CVE-2015-6687、CVE-2015-6684、CVE-2015-6691、CVE-2015-7621、CVE-2015-5586、CVE-2015-6683)。
  • 这些更新解决了可能导致代码执行的堆缓冲区溢出漏洞(CVE-2015-6696、CVE-2015-6698、CVE-2015-8458)。
  • 这些更新解决了可能导致代码执行的内存损坏漏洞(CVE-2015-6685、CVE-2015-6693、CVE-2015-6694、CVE-2015-6695、CVE-2015-6686、CVE-2015-7622、CVE-2015-7650)。
  • 这些更新修复了内存泄露漏洞(CVE-2015-6699、CVE-2015-6700、CVE-2015-6701、CVE-2015-6702、CVE-2015-6703、CVE-2015-6704、CVE-2015-6697)。
  • 这些更新修复了可能导致信息泄露的绕过安全漏洞(CVE-2015-5583、CVE-2015-6705、CVE-2015-6706、CVE-2015-7624)。
  • 这些更新修复了可绕过 Javascript API 执行限制的多种方式(CVE-2015-6707、CVE-2015-6708、CVE-2015-6709、CVE-2015-6710、CVE-2015-6711、CVE-2015-6712、CVE-2015-7614、CVE-2015-7616、CVE-2015-6716、CVE-2015-6717、CVE-2015-6718、CVE-2015-6719、CVE-2015-6720、CVE-2015-6721、CVE-2015-6722、CVE-2015-6723、CVE-2015-6724、CVE-2015-6725、CVE-2015-7618、CVE-2015-7619、CVE-2015-7620、CVE-2015-7623、CVE-2015-6713、CVE-2015-6714、CVE-2015-6715)。

鸣谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 HP Zero Day Initiative 的 AbdulAziz Hariri(CVE-2015-6708、CVE-2015-6709、CVE-2015-6710、CVE-2015-6711、CVE-2015-6712、CVE-2015-7614、CVE-2015-7616、CVE-2015-6689、CVE-2015-6688、CVE-2015-6690、CVE-2015-7615、CVE-2015-7617、CVE-2015-6697、CVE-2015-6685、CVE-2015-6693、CVE-2015-6694、CVE-2015-6695、CVE-2015-6707)
  • 来自 HP Zero Day Initiative 的 AbdulAziz Hariri 和 Jasiel Spelman(CVE-2015-5583、CVE-2015-6699、CVE-2015-6700、CVE-2015-6701、CVE-2015-6702、CVE-2015-6703、CVE-2015-6704)
  • 来自 Cure53.de 的 Alex Inführ(CVE-2015-6705、CVE-2015-6706)
  • 来自 Vectra Networks 的 Bill Finlayson (CVE-2015-6687)
  • 参与 VeriSign iDefense Labs 的 Bilou (CVE-2015-6684)
  • 来自 HP Zero Day Initiative 的 Brian Gorenc (CVE-2015-6686)
  • 来自 COSIG 的 Francis Provencher (CVE-2015-7622)
  • 参与 HP Zero Day Initiative 的来自 Clarified Security 的 Jaanus Kp(CVE-2015-6696、CVE-2015-6698)
  • 来自 TrendMicro 的 Jack Tang (CVE-2015-6692)
  • 来自 MWR Labs 的 James Loureiro (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • 参与 HP Zero Day Initiative 的 kdot(CVE-2015-7621、CVE-2015-7650)
  • 来自 HP Zero Day Initiative 的 Matt Molinyawe 和 Jasiel Spelman(CVE-2015-6716、CVE-2015-6717、CVE-2015-6718、CVE-2015-6719、CVE-2015-6720、CVE-2015-6721、CVE-2015-6722、CVE-2015-6723、CVE-2015-6724、CVE-2015-6725、CVE-2015-7618、CVE-2015-7619、CVE-2015-7620)
  • 来自 HP Zero Day Initiative 的 Matt Molinyawe (CVE-2015-7623)
  • 来自 HP Zero Day Initiative 的 WanderingGlitch (CVE-2015-6713、CVE-2015-6714、CVE-2015-6715)
  • 来自南洋理工大学的 Wei Lei 和 Wu Hongjun (CVE-2015-5586)
  • 参与 Verisign iDefense Labs 的来自南洋理工大学的 Wei Lei 和 Wu Hongjun (CVE-2015-6683)
  • 为深度防御作出贡献的来自 HP Zero Day Initiative 的 AbdulAziz Hariri 和 Jasiel Spelman
  • 参与 HP Zero Day Initiative 的 Fritz Sands (CVE-2015-8458)

修订

2015 年 10 月 14 日:更正了错误的 CVE 详细信息和鸣谢部分

2015 年 10 月 29 日:增加了关于 CVE-2015-7829 的参考,这是作为 Acrobat 和 Reader 中的一个漏洞进行报告的,然而解决这个漏洞却是通过 MS15-090 中引用的 Windows 上的安全修复来完成的。另外,还增加了关于 CVE-2015-7650 的参考,该漏洞已在 10 月 13 日发布的 Acrobat 和 Reader 版本中得以解决,但是公告因疏忽而将其遗漏了。 

2015 年 12 月 11 日:增加了对 CVE-2015-8458 的参考,该漏洞已在 10 月 13 日发行的 Acrobat 和 Reader 中得以解决,但是公告因疏忽而将其遗漏了。