Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Acrobat und Reader

Veröffentlichungsdatum: 5. Mai 2016

Letzte Aktualisierung: 19. Mai 2016

Kennung der Sicherheitslücke: APSB16-14

Priorität: 2

CVE-Nummern: CVE-2016-1037, CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1043, CVE-2016-1044, CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1063, CVE-2016-1064, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1075, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1079, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1087, CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, CVE-2016-1093, CVE-2016-1094, CVE-2016-1095, CVE-2016-1112, CVE-2016-1116, CVE-2016-1117, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107, CVE-2016-4119

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC Fortlaufend 15.010.20060 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Fortlaufend 15.010.20060 und frühere Versionen
Windows und Macintosh
       
Adobe Acrobat DC Klassisch 15.006.30121 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Klassisch 15.006.30121 und frühere Versionen
Windows und Macintosh
       
Acrobat XI Nur Desktop-Applikation 11.0.15 und frühere Versionen Windows und Macintosh
Reader XI Nur Desktop-Applikation 11.0.15 und frühere Versionen Windows und Macintosh

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren. 
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden. 
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.
Für IT-Administratoren (verwaltete Umgebungen):
  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC Fortlaufend 15.016.20039
Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader DC Fortlaufend 15.016.20039
Windows und Macintosh 2 Download-Center
           
Adobe Acrobat DC Klassisch 15.006.30172
Windows und Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisch 15.006.30172
Windows und Macintosh 2 Windows
Macintosh
           
Acrobat XI Nur Desktop-Applikation 11.0.16 Windows und Macintosh 2 Windows
Macintosh
Reader XI Nur Desktop-Applikation 11.0.16 Windows und Macintosh 2 Windows
Macintosh

Sicherheitslückendetails

  • Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Code ermöglichen (CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1075, CVE-2016-1094, CVE-2016-1121, CVE-2016-1122, CVE-2016-4102, CVE-2016-4107).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2016-4091, CVE-2016-4092).
  • Diese Updates schließen Speicherbeschädigungs-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2016-1037, CVE-2016-1063, CVE-2016-1064, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1088, CVE-2016-1093, CVE-2016-1095, CVE-2016-1116, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4119).
  • Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2016-1043).
  • Diese Updates schließen Speicherleck-Sicherheitslücken (CVE-2016-1079, CVE-2016-1092).
  • Diese Updates lösen ein Problem, das eine unbeabsichtigte Weitergabe von Daten ermöglichte (CVE-2016-1112).
  • Diese Updates verhindern verschiedene Vorgehensweisen, mit denen Einschränkungen für die JavaScript-API-Ausführung umgangen werden können (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062, CVE-2016-1117).
  • Diese Updates schließen Sicherheitslücken im Verzeichnissuchpfad, die verwendet werden konnten, um Ressourcen zu finden, die die Ausführung von Code ermöglichen (CVE-2016-1087, CVE-2016-1090, CVE-2016-4106).

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Jaanus Kääp von Clarified Security (CVE-2016-1088, CVE-2016-1093).
  • Brian Gorenc, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1065)
  • AbdulAziz Hariri, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1076, CVE-2016-1079, CVE-2016-1117)
  • AbdulAziz Hariri und Jasiel Spelman, die für die Zero Day Initiative von Trend Micro arbeiten (CVE-2016-1080)
  • Ladislav Baco von CSIRT.SK und Eric Lawrence (CVE-2016-1090)
  • Ke Liu von Tencent Xuanwu LAB (CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107)
  • kdot, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1063, CVE-2016-1071, CVE-2016-1074, CVE-2016-1075, CVE-2016-1078, CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Sebastian Apelt von Siberas (CVE-2016-1092)
  • Wei Lei und Liu Yang von der Nanyang Technological University (CVE-2016-1116)
  • Pier-Luc Maltais von COSIG (CVE-2016-1077)
  • Matthias Kaiser, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044)
  • Jaanus Kääp von Clarified Security und Steven Seeley von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2016-1094)
  • Sebastian Apelt von Siberas, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1072, CVE-2016-1073)
  • Anonymous, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-1043, CVE-2016-1045)
  • kelvinwang von Tencent PC Manager (CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086)
  • Wei Lei, Wu Hongjun und Liu Yang, die für das iDefense Vulnerability Contributor Program arbeiten (CVE-2016-1037)
  • Alex Inführ von Cure53.de (CVE-2016-1064)
  • Kushal Arvind Shah und Kai Lu von Fortinet's FortiGuard Labs (CVE-2016-4119)

Historie

19. Mai 2016: CVE-2016-4119 wurde hinzugefügt, die in dieser Version behoben wurde, jedoch versehentlich nicht in der ursprünglichen Version des Bulletins aufgeführt wurde.