Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 6. října 2016

Poslední aktualizace: 10. listopadu 2016

Identifikátor chyby zabezpečení: APSB16-33

Priorita: 2

Čísla CVE: CVE-2016-1089, CVE-2016-1091, CVE-2016-4095, CVE-2016-6939, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6947, CVE-2016-6948, CVE-2016-6949, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6957, CVE-2016-6958, CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6970, CVE-2016-6971, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854

Platforma: Windows a Macintosh

CVE-2016-6937
CVE-2016-6937

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.017.20053 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.017.20053 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30201 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30201 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.17 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.17 a starší verze Windows a Macintosh

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace. 
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací. 
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání. 
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 15.020.20039
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC Průběžně 15.020.20039
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 15.006.30243
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 15.006.30243
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.18 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.18 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu (CVE-2016-1089, CVE-2016-1091, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6949, CVE-2016-6952, CVE-2016-6953, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6971, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993). 
  • Tyto aktualizace řeší chyby zabezpečení spojené s přetečením vyrovnávací paměti na haldě, které mohou vést ke spuštění kódu (-6939, CVE-2016-, CVE-2016-6994). 
  • Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu (CVE-2016-4095, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6947, CVE-2016-6948, CVE-2016-6950, CVE-2016-6951, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6959, CVE-2016-6960, CVE-2016-6966, CVE-2016-6970, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854). 
  • Tyto aktualizace brání různým metodám, které se snaží obejít omezení pro spuštění javascriptového rozhraní API (CVE-2016-6957). 
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení (CVE-2016-6958). 
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2016-6999).
 

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Steven Seeley ze společnosti Source Incite spolupracující s iniciativou iDefense (CVE-2016-6949)
  • Jaanus Kääp ze společnosti Clarified Security (CVE-2016-1089, CVE-2016-1091, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956)
  • Steven Seeley ze společnosti Source Incite spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2016-6971)
  • Kushal Arvind Shah z laboratoří FortiGuard Labs společnosti Fortinet (CVE-2016-6948)
  • Dmitri Kaslov (CVE-2016-7012)
  • AbdulAziz Hariri z iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6944, CVE-2016-6945)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2016-4095, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6940, CVE-2016-6941, CVE-2016-7854)
  • Wei Lei a Liu Yang z univerzity Nanyang Technological University spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6969)
  • Aakash Jain a Dhanesh Kizhakkinan ze společnosti FireEye Inc. (CVE-2016-6943)
  • Sebastian Apelt ze společnosti Siberas spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6942, CVE-2016-6946, CVE-2016-6947, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6988)
  • Anonymní hlášení prostřednictvím iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6979)
  • Abdulrahman Alqabandi (CVE-2016-6970)
  • Wei Lei a Liu Yang z univerzity Nanyang Technological University spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-6978)
  • Kai Lu z laboratoří FortiGuard Labs společnosti Fortinet (CVE-2016-6939)
  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2016-6957, CVE-2016-6958)
 

Verze

21. října 2016: přidány reference na záznamy CVE-2016-7852, CVE-2016-7853 a CVE-2016-7854, které byly omylem z původního bulletinu vypuštěny.

10. listopadu 2016: přidány reference na záznam CVE-2016-4095, který byl omylem z původního bulletinu vypuštěn.