Adobe Acrobat 和 Reader 的可用安全更新

发布日期:2016 年 5 月 5 日

上次更新日期:2016 年 5 月 19 日

漏洞标识符:APSB16-14

优先级:2

CVE 编号:CVE-2016-1037、CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1043、CVE-2016-1044、CVE-2016-1045、CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1062、CVE-2016-1063、CVE-2016-1064、CVE-2016-1065、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1071、CVE-2016-1072、CVE-2016-1073、CVE-2016-1074、CVE-2016-1075、CVE-2016-1076、CVE-2016-1077、CVE-2016-1078、CVE-2016-1079、CVE-2016-1080、CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086、CVE-2016-1087、CVE-2016-1088、CVE-2016-1090、CVE-2016-1092、CVE-2016-1093、CVE-2016-1094、CVE-2016-1095、CVE-2016-1112、CVE-2016-1116、CVE-2016-1117、CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1121、CVE-2016-1122、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4091、CVE-2016-4092、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4102、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4106、CVE-2016-4107, CVE-2016-4119

平台:Windows 和 Macintosh

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 Track 受影响的版本 平台
Acrobat DC Continuous 15.010.20060 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Continuous 15.010.20060 及更早版本
Windows 和 Macintosh
       
Acrobat DC Classic 15.006.30121 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Classic 15.006.30121 及更早版本
Windows 和 Macintosh
       
Acrobat XI Desktop 11.0.15 及更早版本 Windows 和 Macintosh
Reader XI Desktop 11.0.15 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的疑问,请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。 
  • 产品将在检测到更新时自动更新,而无须用户干预。 
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 Track 更新版本 平台 优先级等级 获取途径
Acrobat DC Continuous 15.016.20039
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continuous 15.016.20039
Windows 和 Macintosh 2 下载中心
           
Acrobat DC Classic 15.006.30172
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC Classic 15.006.30172
Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.16 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.16 Windows 和 Macintosh 2 Windows
Macintosh

漏洞详情

  • 这些更新修复了可能导致代码执行的释放后使用 (use-after-free) 漏洞(CVE-2016-1045、CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1065、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1075、CVE-2016-1094、CVE-2016-1121、CVE-2016-1122、CVE-2016-4102、CVE-2016-4107)。
  • 这些更新修复了可能导致代码执行的堆缓冲区溢出漏洞(CVE-2016-4091、CVE-2016-4092)。
  • 这些更新修复了可能导致代码执行的内存损坏漏洞(CVE-2016-1037、CVE-2016-1063、CVE-2016-1064、CVE-2016-1071、CVE-2016-1072、CVE-2016-1073、CVE-2016-1074、CVE-2016-1076、CVE-2016-1077、CVE-2016-1078、CVE-2016-1080、CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086、CVE-2016-1088、CVE-2016-1093、CVE-2016-1095、CVE-2016-1116、CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4119)。
  • 这些更新修复了可能导致代码执行的整数溢出漏洞 (CVE-2016-1043)。
  • 这些更新修复了内存泄露漏洞(CVE-2016-1079、CVE-2016-1092)。
  • 这些更新修复了信息泄露问题 (CVE-2016-1112)。
  • 这些更新修复了可绕过 Javascript API 执行限制的多种方式(CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1044、CVE-2016-1062、CVE-2016-1117)。
  • 这些更新修复了目录搜索路径中存在的漏洞,这些漏洞会被用来查找可导致代码执行的资源(CVE-2016-1087、CVE-2016-1090、CVE-2016-4106)。

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 Clarified Security 信息安全公司的 Jaanus Kääp(CVE-2016-1088、CVE-2016-1093)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Brian Gorenc (CVE-2016-1065)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 AbdulAziz Hariri(CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1062、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1076、CVE-2016-1079、CVE-2016-1117)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 AbdulAziz Hariri 和 Jasiel Spelman (CVE-2016-1080)
  • 来自 CSIRT.SK 的 Ladislav Baco 和 Eric Lawrence (CVE-2016-1090)
  • 来自腾讯公司玄武实验室的 Ke Liu(CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1121、CVE-2016-1122、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4091、CVE-2016-4092、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4102、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4106、CVE-2016-4107)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Kdot(CVE-2016-1063、CVE-2016-1071、CVE-2016-1074、CVE-2016-1075、CVE-2016-1078、CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • 来自 Siberas 公司的 Sebastian Apelt (CVE-2016-1092)
  • 来自南洋理工大学的 Wei Lei 和 Liu Yang (CVE-2016-1116)
  • 来自 COSIG 的 Pier-Luc Maltais (CVE-2016-1077)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Matthias Kaiser(CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1044)
  • 来自 Clarified Security 的 Jaanus Kp 和来自 Source Incite 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley (CVE-2016-1094)
  • 来自 Siberas 公司并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Sebastian Apelt(CVE-2016-1072、CVE-2016-1073)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的匿名人士(CVE-2016-1043、CVE-2016-1045)
  • 来自腾讯电脑管家 (Tencent PC Manager) 团队的 kelvinwang(CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086)
  • 参与 iDefense Vulnerability Contributor Program 的 Wei Lei、Wu Hongjun 和 Liu Yang (CVE-2016-1037)
  • 来自 Cure53.de 的 Alex Inführ (CVE-2016-1064)
  • 来自 Fortinet FortiGuard 实验室的 Kushal Arvind Shah 和 Kai Lu (CVE-2016-4119)

修订

2016 年 5 月 19 日:添加了已在此版本中解决,但在公告的原始版本中因疏忽而遗漏的 CVE-2016-4119。