某些 Creative Cloud 应用程序、服务和功能在中国不可用。
发布日期:2016 年 1 月 7 日
上次更新日期:2016 年 4 月 27 日
漏洞标识符:APSB16-02
优先级:请参见下表
CVE 编号:CVE-2016-0931、CVE-2016-0932、CVE-2016-0933、CVE-2016-0934、CVE-2016-0935、CVE-2016-0936、CVE-2016-0937、CVE-2016-0938、CVE-2016-0939、CVE-2016-0940、CVE-2016-0941、CVE-2016-0942、CVE-2016-0943、CVE-2016-0944、CVE-2016-0945、CVE-2016-0946、CVE-2016-0947、CVE-2016-1111
平台:Windows 和 Macintosh
Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。
| 产品 | Track | 受影响的版本 | 平台 |
|---|---|---|---|
| Acrobat DC | Continuous | 15.009.20077 及更早版本 |
Windows 和 Macintosh |
| Acrobat Reader DC | Continuous | 15.009.20077 及更早版本 |
Windows 和 Macintosh |
| Acrobat DC | Classic | 15.006.30097 及更早版本 |
Windows 和 Macintosh |
| Acrobat Reader DC | Classic | 15.006.30097 及更早版本 |
Windows 和 Macintosh |
| Acrobat XI | Desktop | 11.0.13 及更早版本 | Windows 和 Macintosh |
| Reader XI | Desktop | 11.0.13 及更早版本 | Windows 和 Macintosh |
注意:正如这篇博客文章介绍的一样,Adobe Acrobat X 和 Adobe Reader X 不再受支持。Adobe 建议用户安装 Adobe Acrobat DC 和 Adobe Acrobat Reader DC,以获取最新的功能和安全更新。
有关 Acrobat DC 的疑问,请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问,请访问 Acrobat Reader DC 常见问题解答页面。
Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:
- 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
- 产品将在检测到更新时自动更新,而无须用户干预。
- 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。
对于 IT 管理员(托管环境):
- 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
- 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。
| 产品 | Track | 更新版本 | 平台 | 优先级等级 | 获取途径 |
|---|---|---|---|---|---|
| Acrobat DC | Continuous | 15.010.20056 |
Windows 和 Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC | Continuous | 15.010.20056 |
Windows 和 Macintosh | 2 | 下载中心 |
| Acrobat DC | Classic | 15.006.30119 |
Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC | Classic | 15.006.30119 |
Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat XI | Desktop | 11.0.14 | Windows 和 Macintosh | 2 | Windows Macintosh |
| Reader XI | Desktop | 11.0.14 | Windows 和 Macintosh | 2 | Windows Macintosh |
- 这些更新修复了若干可导致代码执行的释放后使用 (use-after-free) 漏洞(CVE-2016-0932、CVE-2016-0934、CVE-2016-0937、CVE-2016-0940、CVE-2016-0941)。
- 这些更新修复了可能导致代码执行的两次释放 (double-free) 漏洞(CVE-2016-0935、CVE-2016-1111)。
- 这些更新修复了可能导致代码执行的内存破坏漏洞(CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、CVE-2016-0945、CVE-2016-0946)。
- 这些更新解决了在 Javascript API 执行时可以绕过限制的一种方法 (CVE-2016-0943)。
- Adobe Download Manager 的更新修复了用于查找资源的目录搜索路径中,可能导致代码执行的漏洞 (CVE-2016-0947)。
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- 来自 HPE Zero Day Initiative 的 AbdulAziz Hariri(CVE-2016-0932、CVE-2016-0937、CVE-2016-0943)
- 来自 HPE Zero Day Initiative 的 AbdulAziz Hariri 和 Jasiel Spelman (CVE-2016-0941)
- 来自 Flexera Software 的 Behzad Najjarpour Jabbari 和 Secunia Research (CVE-2016-0940)
- 来自 HPE Zero Day Initiative 的 Brian Gorenc (CVE-2016-0931)
- 来自 Fortinet 公司 FortiGuard Labs 的 Chris Navarrete (CVE-2016-0942)
- 来自 Clarified Security 且参与 HPE Zero Day Initiative 的 Jaanus Kp(CVE-2016-0936、CVE-2016-0938、CVE-2016-0939)
- 参与惠普零日项目 (HPE Zero Day Initiative) 的 kdot(CVE-2016-0934、CVE-2016-0935、CVE-2016-1111)
- 来自奇虎 360 Vulcan Team 的 Linan Hao(CVE-2016-0944、CVE-2016-0945、CVE-2016-0946)
- 参与 iDefense Vulnerability Contributor Program 的 Mahinthan Chandramohan、Wei Lei 和 Liu Yang (CVE-2016-0933)
- 以个人身份报告问题的 Vladimir Dubrovin、Eric Lawrence 和来自腾讯公司玄武实验室的 Ke Liu (CVE-2016-0947)