Adoben tietoturvatiedote

Julkaisupäivä: 7. heinäkuuta 2016

Viimeksi päivitetty: 12. syyskuuta 2016

Haavoittuvuuden tunniste: APSB16-26

Prioriteetti: 2

CVE-numerot: CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938

Ympäristö: Windows ja Macintosh

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

• Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus. 
• Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu. 
• Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.
  

IT-päälliköt (hallinnoidut ympäristöt):

• Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
• Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
  

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

• Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2016-4210).
• Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2016-4255, CVE-2016-6938).
• Nämä päivitykset ratkaisevat pinopuskurin ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2016-4209).
• Nämä päivitykset ratkaisevat useita haavoittuvuuksia, joita hyödyntämällä voidaan ohittaa Javascript API -suorituksen rajoituksia (CVE-2016-4215).
• Nämä päivitykset ratkaisevat muistin vioittumishaavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).
  

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

• Jaanus Kääp Clarified Securitystä, Ke Liu Tencent's Xuanwu LABista ja Sébastien Morin COSIG:stä (CVE-2016-4201)
• Kai Lu Fortinet's FortiGuard Labsista, Jaanus Kääp Clarified Securitystä, Ke Liu Tencent's Xuanwu LABistä ja Sébastien Morin COSIG:stä (CVE-2016-4203)
• Sébastien Morin COSIG:stä ja Ke Liu Tencent's Xuanwu LABistä (CVE-2016-4208)
• Jaanus Kääp Clarified Securitystä (CVE-2016-4252)
• Wei Lei Sun Zhihao ja Liu Yang of Nanyang Technological Universitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4198)
• Alex Inführ ja Masato Kinugawa Cure53:sta (CVE-2016-4215)
• Ke Liu Tencent's Xuanwu LABistä (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
• AbdulAziz Hariri yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
• Sébastien Morin COSIG:stä (CVE-2016-4206, CVE-2016-4207)
• kdot yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4191, CVE-2016-4268, CVE-2016-4270)
• Stanko Jankovic (CVE-2016-4192)
• Jaanus Kp Clarified Securitystä yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4255, CVE-2016-4251)
• Sébastien Morin ja Pier-Luc Maltais COSIG:stä (CVE-2016-4204, CVE-2016-4205)
  
• Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938) 

12.7.2016: korvattu koodit CVE-2016-4189 ja CVE-2016-4190 koodeilla CVE-2016-4254 ja CVE-2016-4255. 

23. elokuuta 2016: lisätty viittaukset haavoittuvuuksiin CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 ja CVE-2016-4270, jotka jätettiin vahingossa pois tiedotteesta. 

12. syyskuuta 2016: lisätty viittaukset haavoittuvuuksiin CVE-2016-6937 ja CVE-2016-6938, jotka jätettiin vahingossa pois tiedotteesta.