Adobe Acrobat 和 Reader 的可用安全更新

发布日期:2016 年 10 月 6 日

上次更新日期:2016 年 11 月 10 日

漏洞标识符:APSB16-33

优先级:2

CVE 编号:CVE-2016-1089、CVE-2016-1091、CVE-2016-4095、CVE-2016-6939、CVE-2016-6940、CVE-2016-6941、CVE-2016-6942、CVE-2016-6943、CVE-2016-6944、CVE-2016-6945、CVE-2016-6946、CVE-2016-6947、CVE-2016-6948、CVE-2016-6949、CVE-2016-6950、CVE-2016-6951、CVE-2016-6952、CVE-2016-6953、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956、CVE-2016-6957、CVE-2016-6958、CVE-2016-6959、CVE-2016-6960、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6966、CVE-2016-6967、CVE-2016-6968、CVE-2016-6969、CVE-2016-6970、CVE-2016-6971、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6978、CVE-2016-6979、CVE-2016-6988、CVE-2016-6993、CVE-2016-6994、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-6999、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7012、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853、CVE-2016-7854

平台:Windows 和 Macintosh

CVE-2016-6937
CVE-2016-6937

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 Track 受影响的版本 平台
Acrobat DC Continuous 15.017.20053 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Continuous 15.017.20053 及更早版本
Windows 和 Macintosh
       
Acrobat DC Classic 15.006.30201 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Classic 15.006.30201 及更早版本
Windows 和 Macintosh
       
Acrobat XI Desktop 11.0.17 及更早版本 Windows 和 Macintosh
Reader XI Desktop 11.0.17 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的疑问,请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。 
  • 产品将在检测到更新时自动更新,而无须用户干预。 
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 Track 更新版本 平台 优先级等级 获取途径
Acrobat DC Continuous 15.020.20039
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continuous 15.020.20039
Windows 和 Macintosh 2 下载中心
           
Acrobat DC Classic 15.006.30243
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC Classic 15.006.30243
Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.18 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.18 Windows 和 Macintosh 2 Windows
Macintosh

漏洞详情

  • 这些更新修复了可能导致代码执行的释放后使用漏洞(CVE-2016-1089、CVE-2016-1091、CVE-2016-6944、CVE-2016-6945、CVE-2016-6946、CVE-2016-6949、CVE-2016-6952、CVE-2016-6953、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6967、CVE-2016-6968、CVE-2016-6969、CVE-2016-6971、CVE-2016-6979、CVE-2016-6988、CVE-2016-6993)。
  • 这些更新修复了堆缓冲区溢出型漏洞,该类型的漏洞可能会导致发生代码执行行为(-6939、CVE-2016-、CVE-2016-6994)。
  • 这些更新修复了可能导致代码执行的内存破坏漏洞(CVE-2016-4095、CVE-2016-6940、CVE-2016-6941、CVE-2016-6942、CVE-2016-6943、CVE-2016-6947、CVE-2016-6948、CVE-2016-6950、CVE-2016-6951、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956、CVE-2016-6959、CVE-2016-6960、CVE-2016-6966、CVE-2016-6970、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6978、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7012、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853、CVE-2016-7854)。
  • 这些更新修复了可绕过 Javascript API 执行限制的多种方式 (CVE-2016-6957)。
  • 这些更新解决了一个安全绕过漏洞 (CVE-2016-6958)。
  • 这些更新修复了可能导致代码执行的整数溢出漏洞 (CVE-2016-6999)。

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 Source Incite 并参与 iDefense 服务的 Steven Seeley (CVE-2016-6949)
  • 来自 Clarified Security 的 Jaanus Kääp(CVE-2016-1089、CVE-2016-1091、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956)
  • 来自 Source Incite 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley (CVE-2016-6971)
  • 来自 Fortinet FortiGuard 实验室的 Kushal Arvind Shah (CVE-2016-6948)
  • Dmitri Kaslov (CVE-2016-7012)
  • 来自 Trend Micro(趋势科技)“Zero Day Initiative”计划的 AbdulAziz Hariri(CVE-2016-6944、VE-2016-6945)
  • 来自腾讯公司玄武实验室的 Ke Liu(CVE-2016-4095、CVE-2016-6993、CVE-2016-6994、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-6999、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 kdot(CVE-2016-6940、CVE-2016-6941、CVE-2016-7854)
  • 来自南洋理工大学并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Wei Lei 和 Liu Yang (CVE-2016-6969)
  • 来自 FireEye Inc. 的 Aakash Jain 和 Dhanesh Kizhakkinan (CVE-2016-6943)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Sebastian Apelt Siberas(CVE-2016-6942、CVE-2016-6946、CVE-2016-6947、CVE-2016-6950、CVE-2016-6951、CVE-2016-6952、CVE-2016-6953、CVE-2016-6988)
  • 来自 Trend Micro(趋势科技)“Zero Day Initiative”计划的匿名报告(CVE-2016-6959、CVE-2016-6960、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6966、CVE-2016-6967、CVE-2016-6968、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6979)
  • Abdulrahman Alqabandi (CVE-2016-6970)
  • 来自南洋理工大学并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Wei Lei 和 Liu Yang (CVE-2016-6978)
  • 来自 Fortinet FortiGuard 实验室的 Kai Lu (CVE-2016-6939)
  • 来自 Palo Alto Networks 的 Gal De Leon(CVE-2016-6957、CVE-2016-6958)

修订

2016 年 10 月 21 日:添加了对 CVE-2016-7852、CVE-2016-7853 和 CVE-2016-7854 的参考,它们是在公告中因疏忽而遗漏的。

2016 年 11 月 10 日:添加了对 CVE-2016-4095 的参考,它是在公告中因疏忽而遗漏的。