可用于 Adobe Acrobat 和 Reader 的安全更新

发布日期:2016 年 7 月 7 日

上次更新日期:2016 年 9 月 12 日

漏洞标识符:APSB16-26

优先级:2

CVE 编号:CVE-2016-4191、CVE-2016-4192、CVE-2016-4193、CVE-2016-4194、CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4198、CVE-2016-4199、CVE-2016-4200、CVE-2016-4201、CVE-2016-4202、CVE-2016-4203、CVE-2016-4204、CVE-2016-4205、CVE-2016-4206、CVE-2016-4207、CVE-2016-4208、CVE-2016-4209、CVE-2016-4210、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4215、CVE-2016-4250、CVE-2016-4251、CVE-2016-4252、CVE-2016-4254、CVE-2016-4255、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269、CVE-2016-4270、CVE-2016-6937、CVE-2016-6938

平台:Windows 和 Macintosh

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 Track 受影响的版本 平台
Acrobat DC Continuous 15.016.20045 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Continuous 15.016.20045 及更早版本
Windows 和 Macintosh
       
Acrobat DC Classic 15.006.30174 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Classic 15.006.30174 及更早版本
Windows 和 Macintosh
       
Acrobat XI Desktop 11.0.16 及更早版本 Windows 和 Macintosh
Reader XI Desktop 11.0.16 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的疑问,请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 Track 更新版本 平台 优先级等级 获取途径
Acrobat DC Continuous 15.017.20050 Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continuous 15.017.20050 Windows 和 Macintosh 2 下载中心
           
Acrobat DC Classic 15.006.30198 Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC Classic 15.006.30198
Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.17 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.17 Windows 和 Macintosh 2 Windows
Macintosh

漏洞详情

  • 这些更新修复了可能导致代码执行的整数溢出漏洞 (CVE-2016-4210)。
  • 这些更新修复了可能导致代码执行的释放后使用漏洞(CVE-2016-4255、CVE-2016-6938)。
  • 这些更新修复了可能导致代码执行的堆缓冲区溢出漏洞 (CVE-2016-4209)。
  • 这些更新修复了可绕过 Javascript API 执行限制的多种方式 (CVE-2016-4215)。
  • 这些更新修复了可能导致代码执行的内存损坏漏洞(CVE-2016-4254、CVE-2016-4191、CVE-2016-4192、CVE-2016-4193、CVE-2016-4194、CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4198、CVE-2016-4199、CVE-2016-4200、CVE-2016-4201、CVE-2016-4202、CVE-2016-4203、CVE-2016-4204、CVE-2016-4205、CVE-2016-4206、CVE-2016-4207、CVE-2016-4208、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4250、CVE-2016-4251、CVE-2016-4252、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269、CVE-2016-4270、CVE-2016-6937)。

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 Clarified Security 的 Jaanus Kääp、来自腾讯玄武实验室的 Ke Liu 以及来自 COSIG 的 Sébastien Morin (CVE-2016-4201)
  • 来自 Fortinet(飞塔)FortiGuard Labs 的 Kai Lu、来自 Clarified Security 信息安全公司的 Jaanus Kääp、来自腾讯玄武实验室的 Ke Liu 以及来自 COSIG 的 Sébastien Morin (CVE-2016-4203)
  • 来自 COSIG 的 Sébastien Morin 和来自腾讯玄武实验室的 Ke Liu (CVE-2016-4208)
  • 来自 Clarified Security 信息安全公司的 Jaanus Kääp (CVE-2016-4252)
  • 来自南洋理工大学并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Wei Lei Sun Zhihao 和 Liu Yang (CVE-2016-4198)
  • 来自 Cure53 的 Alex Inführ 和 Masato Kinugawa (CVE-2016-4215)
  • 来自腾讯玄武实验室的 Ke Liu(CVE-2016-4254、CVE-2016-4193、CVE-2016-4194、CVE-2016-4209、CVE-2016-4210、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4250)
  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 AbdulAziz Hariri(CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4199、CVE-2016-4200、CVE-2016-4202)
  • 来自 COSIG 的 Sébastien Morin(CVE-2016-4206、CVE-2016-4207)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 kdot(CVE-2016-4191、CVE-2016-4270)
  • Stanko Jankovic (CVE-2016-4192)
  • 来自 Clarified Security 信息安全公司并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Jaanus Kp(CVE-2016-4255、CVE-2016-4251)
  • 来自 COSIG 的 Sébastien Morin 和 Pier-Luc Maltais(CVE-2016-4204、CVE-2016-4205)
  • 来自 Source Incite 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley(CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4269、CVE-2016-6937、CVE-2016-6938)

修订

2016 年 7 月 12 日:使用 CVE-2016-4254 和 CVE-2016-4255 分别替换 CVE-2016-4189 和 CVE-2016-4190。

2016 年 8 月 23 日:添加了对以下 CVE 的参考:CVE-2016-4265、CVE-2016-4266、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269 和 CVE-2016-4270,它们是在公告中因疏忽而遗漏的。

2016 年 9 月 12 日:添加了对 CVE-2016-6937 和 CVE-2016-6938 的参考,它们是在公告中因疏忽而遗漏的。