Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 7. ledna 2016

Poslední aktualizace: 27. dubna 2016

Identifikátor chyby zabezpečení: APSB16-02

Priorita: Viz tabulka níže

Čísla CVE: CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.009.20077 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.009.20077 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30097 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30097 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.13 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.13 a starší verze Windows a Macintosh

Poznámka: Jak bylo uvedeno v tomto příspěvku na blogu, aplikace Adobe Acrobat X a Adobe Reader X nadále nejsou podporovány. Společnost Adobe doporučuje uživatelům, aby si nainstalovali aplikace Adobe Acrobat DC nebo Adobe Acrobat Reader DC, které nabízejí nejnovější funkce a aktualizace zabezpečení.

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky po zjištění dostupnosti aktualizací. Není třeba žádný zásah uživatele. 
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).
Produkt Stopa Aktualizované verze Platforma Hodnocení priority Dostupnost
Acrobat DC Průběžně 15.010.20056
Windows a Macintosh 2

Windows
Macintosh

Acrobat Reader DC Průběžně 15.010.20056
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 15.006.30119
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 15.006.30119
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.14 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.14 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940, CVE-2016-0941). 
  • Tyto aktualizace řeší chyby zabezpečení typu „double-free“, které mohou vést ke spuštění kódu (CVE-2016-0935, CVE-2016-1111). 
  • Tyto aktualizace řeší chyby v zabezpečení spočívající v poškození paměti, které by mohly vést ke spuštění kódu (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946). 
  • Tyto aktualizace řeší obcházení omezení při spouštění rozhraní Javascript API (CVE-2016-0943). 
  • Aktualizace aplikace Adobe Download Manager řeší chybu zabezpečení v cestě k vyhledávání adresářů, která slouží k nalezení prostředků umožňujících spuštění kódu (CVE-2016-0947).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • AbdulAziz Hariri z iniciativy HPE Zero Day Initiative (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
  • AbdulAziz Hariri a Jasiel Spelman z iniciativy HPE Zero Day Initiative (CVE-2016-0941)
  • Behzad Najjarpour Jabbari, Secunia Research ve společnosti Flexera Software (CVE-2016-0940)
  • Brian Gorenc z iniciativy HPE Zero Day Initiative (CVE-2016-0931)
  • Chris Navarrete z laboratoří FortiGuard Labs společnosti Fortinet (CVE-2016-0942)
  • Jaanus Kp ze společnosti Clarified Security spolupracující s iniciativou HPE Zero Day Initiative (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti HPE (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Linan Hao z týmu Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
  • Mahinthan Chandramohan, Wei Lei a Liu Yang spolupracující s programem Vulnerability Contributor Program společnosti iDefense (CVE-2016-0933)
  • Samostatně nahlásili Vladimir Dubrovin, Eric Lawrence a Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2016-0947)

Verze

27. dubna 2016: přidán záznam CVE-2016-1111, který byl omylem z původní verze tohoto bulletinu vypuštěn.