Adobe Digital Editionsin tietoturvapäivitys

Julkaisupäivä: 13. syyskuuta 2016

Viimeksi päivitetty: 26. syyskuuta 2016

Haavoittuvuuden tunniste: APSB16-28

Prioriteetti: 3

CVE-numerot: CVE-2016-4256, CVE-2016-4257, CVE-2016-4258, CVE-2016-4259, CVE-2016-4260, CVE-2016-4261, CVE-2016-4262 ja CVE-2016-4263, CVE-2016-6980

Ympäristö: Windows, Macintosh, iOS ja Android

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Digital Editionsin Windows-, Macintosh-, iOS- ja Android-versioihin. Tämä päivitys ratkaisee kriittisiä muistin vioittumisongelmia, jotka voivat johtaa koodin suoritukseen.

Versiot

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Adobe Digital Editions 4.5.1 ja aiemmat versiot Windows, Macintosh, iOS ja Android

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Saatavuus
    Windows
3 Lataussivu
Adobe Digital Editions 4.5.2 Macintosh 3 Lataussivu
    iOS 3 iTunes
    Android 3 Play Kauppa

Adobe Digital Editions 4.5.1:n Windows-version käyttäjät voivat joko ladata päivityksen Adobe Digital Editionsin lataussivulta tai käyttää tuotteen päivitysmekanismia sitä pyydettäessä.  Digital Editionsin iOS- ja Android-versioiden käyttäjät voivat ladata päivityksen sovelluskaupasta. 

Lisätietoja on julkaisutiedoissa.

Lisätietoja haavoittuvuuksista

  • Tämä päivitys ratkaisee useita muistin vioittumisongelmia, jotka voivat johtaa koodin suoritukseen (CVE-2016-4256, CVE-2016-4257, CVE-2016-4258, CVE-2016-4259, CVE-2016-4260, CVE-2016-4261 ja CVE-2016-4262). 
  • Tämä päivitys ratkaisee vapautuksen jälkeisen käytön haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2016-4263, CVE-2016-6980).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Ke Liu Tencentin Xuanwu LABista (CVE-2016-4256, CVE-2016-4257, CVE-2016-4258, CVE-2016-4259, CVE-2016-4260, CVE-2016-4261 ja CVE-2016-4262). 
  • Mario Gomes (@NetFuzzer) yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4263).
  • Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (VE-2016-6980).

Versiot

26. syyskuuta 2016: lisätty viittaus haavoittuvuuteen CVE-2016-6980, joka jäi vahingossa pois tiedotteesta