Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 7. července 2016

Poslední aktualizace: 12. září 2016

Identifikátor chyby zabezpečení: APSB16-26

Priorita: 2

Čísla CVE: CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.016.20045 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.016.20045 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30174 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30174 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.16 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.16 a starší verze Windows a Macintosh

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 15.017.20050 Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC Průběžně 15.017.20050 Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 15.006.30198 Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 15.006.30198
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.17 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.17 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2016-4210).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v možnosti použití uvolněné paměti, která může vést ke spuštění kódu (CVE-2016-4255, CVE-2016-6938).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti haldy, která může vést ke spuštění kódu (CVE-2016-4209).
  • Tyto aktualizace brání různým metodám, které se snaží obejít omezení pro spuštění javascriptového rozhraní API (CVE-2016-4215).
  • Tyto aktualizace odstraňují chyby zabezpečení spojené s poškozením pamětí, které mohou vést ke spuštění kódu (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Jaanus Kääp ze společnosti Clarified Security, Ke Liu ze společnosti Tencent's Xuanwu LAB a Sébastien Morin ze společnosti COSIG (CVE-2016-4201)
  • Kai Lu ze společnosti Fortinet's FortiGuard Labs, Jaanus Kääp ze společnosti Clarified Security, Ke Liu ze společnosti Tencent's Xuanwu LAB a Sébastien Morin ze společnosti COSIG (CVE-2016-4203)
  • Sébastien Morin ze společnosti COSIG a Ke Liu ze společnosti Tencent's Xuanwu LAB (CVE-2016-4208)
  • Jaanus Kääp ze společnosti Clarified Security (CVE-2016-4252)
  • Wei Lei Sun Zhihao a Liu Yang z univerzity Nanyang Technological University spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4198)
  • Alex Inführ a Masato Kinugawa ze společnosti Cure53 (CVE-2016-4215)
  • Ke Liu ze společnosti Tencent's Xuanwu LAB (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
  • AbdulAziz Hariri spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
  • Sébastien Morin ze společnosti COSIG (CVE-2016-4206, CVE-2016-4207)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4191, CVE-2016-4270)
  • Stanko Jankovic (CVE-2016-4192)
  • Jaanus Kp ze společnosti Clarified Security, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4255, CVE-2016-4251)
  • Sébastien Morin a Pier-Luc Maltais ze společnosti COSIG (CVE-2016-4204, CVE-2016-4205)
  • Steven Seeley ze společnosti Source Incite spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938)

Verze

12. července 2016: CVE-2016-4189 a CVE-2016-4190 nahrazeno za CVE-2016-4254 a CVE-2016-4255. 

23. srpna 2016: přidány reference na záznamy CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 a CVE-2016-4270, které byly omylem z bulletinu vypuštěny.

12. září 2016: přidány reference na záznam CVE-2016-6937 a CVE-2016-6938, které byly omylem z původního bulletinu vypuštěny.