Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 5. května 2016

Poslední aktualizace: 19. května 2016

Identifikátor chyby zabezpečení: APSB16-14

Priorita: 2

Čísla CVE: CVE-2016-1037, CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1043, CVE-2016-1044, CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1063, CVE-2016-1064, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1075, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1079, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1087, CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, CVE-2016-1093, CVE-2016-1094, CVE-2016-1095, CVE-2016-1112, CVE-2016-1116, CVE-2016-1117, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107, CVE-2016-4119

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.010.20060 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.010.20060 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30121 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30121 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.15 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.15 a starší verze Windows a Macintosh

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace. 
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací. 
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání. 
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 15.016.20039
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC Průběžně 15.016.20039
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 15.006.30172
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 15.006.30172
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.16 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.16 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1075, CVE-2016-1094, CVE-2016-1121, CVE-2016-1122, CVE-2016-4102, CVE-2016-4107).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, které mohou vést ke spuštění kódu (CVE-2016-4091, CVE-2016-4092).
  • Tyto aktualizace odstraňují chyby zabezpečení spojené s poškozením pamětí, které mohou vést ke spuštění kódu (CVE-2016-1037, CVE-2016-1063, CVE-2016-1064, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1088, CVE-2016-1093, CVE-2016-1095, CVE-2016-1116, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4119).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2016-1043).
  • Tyto aktualizace řeší chyby zabezpečení týkající se úniku paměti, který může vést ke spuštění kódu (-2016-1079, -2016-1092, CVE-, CVE).
  • Tyto aktualizace řeší potíže s prozrazením informací (CVE-2016-1112).
  • Tyto aktualizace brání různým metodám, které se snaží obejít omezení pro spuštění javascriptového rozhraní API (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062, CVE-2016-1117).
  • Tyto aktualizace řeší chyby zabezpečení týkající se adresářových cest hledání používaných pro hledání prostředků, které by mohly umožnit spuštění kódu (CVE-2016-1087, CVE-2016-1090, CVE-2016-4106).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Jaanus Kääp ze společnosti Clarified Security (CVE-2016-1088, CVE-2016-1093)
  • Brian Gorenc spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1065)
  • AbdulAziz Hariri spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1076, CVE-2016-1079, CVE-2016-1117)
  • AbdulAziz Hariri a Jasiel Spelman spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1080)
  • Ladislav Baco ze společnosti CSIRT.SK a Eric Lawrence (CVE-2016-1090)
  • Ke Liu ze společnosti Tencent Xuanwu LAB (CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1063, CVE-2016-1071, CVE-2016-1074, CVE-2016-1075, CVE-2016-1078, CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Sebastian Apelt ze společnosti Siberas (CVE-2016-1092)
  • Wei Lei a Liu Yang z univerzity Nanyang Technological University (CVE-2016-1116)
  • Pier-Luc Maltais z organizace COSIG (CVE-2016-1077)
  • Matthias Kaiser spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044)
  • Jaanus Kp ze společnosti Clarified Security a Steven Seeley ze společnosti Source Incite spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2016-1094)
  • Sebastian Apelt ze společnosti Siberas, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1072, CVE-2016-1073)
  • Anonymous spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-1043, CVE-2016-1045)
  • kelvinwang ze společnosti Tencent PC Manager (CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086)
  • Wei Lei, Wu Hongjun a Liu Yang spolupracující v rámci programu iDefense Vulnerability Contributor Program (CVE-2016-1037)
  • Alex Inführ ze společnosti Cure53.de (CVE-2016-1064)
  • Kushal Arvind Shah a Kai Lu z laboratoře FortiGuard Labs společnosti Fortinet (CVE-2016-4119)

Verze

19. dubna 2016: přidán záznam CVE-2016-4119, který byl v této verzi vyřešen, ale omylem byl z původní verze tohoto bulletinu vypuštěn.