Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 7. heinäkuuta 2016

Viimeksi päivitetty: 12. syyskuuta 2016

Haavoittuvuuden tunniste: APSB16-26

Prioriteetti: 2

CVE-numerot: CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938

Ympäristö: Windows ja Macintosh

CVE-2016-6937
CVE-2016-6937

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 15.016.20045 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 15.016.20045 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 15.006.30174 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 15.006.30174 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.16 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.16 ja aiemmat versiot Windows ja Macintosh

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus. 
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu. 
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 15.017.20050
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Jatkuva 15.017.20050
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 15.006.30198
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Perinteinen 15.006.30198
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.17 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.17 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2016-4210).
  • Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2016-4255, CVE-2016-6938).
  • Nämä päivitykset ratkaisevat pinopuskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2016-4209).
  • Nämä päivitykset ratkaisevat useita haavoittuvuuksia, joita hyödyntämällä voidaan ohittaa Javascript API -suorituksen rajoituksia (CVE-2016-4215).
  • Nämä päivitykset ratkaisevat muistin vioittumishaavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Jaanus Kääp Clarified Securitystä, Ke Liu Tencent's Xuanwu LABista ja Sébastien Morin COSIG:stä (CVE-2016-4201)
  • Kai Lu Fortinet's FortiGuard Labsista, Jaanus Kääp Clarified Securitystä, Ke Liu Tencent's Xuanwu LABistä ja Sébastien Morin COSIG:stä (CVE-2016-4203)
  • Sébastien Morin COSIG:stä ja Ke Liu Tencent's Xuanwu LABistä (CVE-2016-4208)
  • Jaanus Kääp Clarified Securitystä (CVE-2016-4252)
  • Wei Lei Sun Zhihao ja Liu Yang of Nanyang Technological Universitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4198)
  • Alex Inführ ja Masato Kinugawa Cure53:sta (CVE-2016-4215)
  • Ke Liu Tencent's Xuanwu LABistä (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
  • AbdulAziz Hariri yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
  • Sébastien Morin COSIG:stä (CVE-2016-4206, CVE-2016-4207)
  • kdot yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4191, CVE-2016-4268, CVE-2016-4270)
  • Stanko Jankovic (CVE-2016-4192)
  • Jaanus Kp Clarified Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4255, CVE-2016-4251)
  • Sébastien Morin ja Pier-Luc Maltais COSIG:stä (CVE-2016-4204, CVE-2016-4205)
  • Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938) 

Versiot

12.7.2016: korvattu koodit CVE-2016-4189 ja CVE-2016-4190 koodeilla CVE-2016-4254 ja CVE-2016-4255. 

23. elokuuta 2016: lisätty viittaukset haavoittuvuuksiin CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 ja CVE-2016-4270, jotka jätettiin vahingossa pois tiedotteesta. 

12. syyskuuta 2016: lisätty viittaukset haavoittuvuuksiin CVE-2016-6937 ja CVE-2016-6938, jotka jätettiin vahingossa pois tiedotteesta.