Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 7. tammikuuta 2016

Viimeksi päivitetty: 27. huhtikuuta 2016

Haavoittuvuuden tunniste: APSB16-02

Prioriteetti: Katso alla oleva taulukko

CVE-numerot:  CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 15.009.20077 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 15.009.20077 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 15.006.30097 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 15.006.30097 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.13 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.13 ja aiemmat versiot Windows ja Macintosh

Huomautus: Kuten tässä blogiviestissä kerrotaan, Adobe Acrobat X ja Adobe Reader X eivät ole enää tuettuja.  Adobe suosittelee käyttäjiä asentamaan Adobe Acrobat DC:n ja Adobe Acrobat Reader DC:n, jotta he saavat uusimmat toiminnot ja tietoturvapäivitykset käyttöönsä.

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla: 

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus. 
  • Tuotteet päivitetään automaattisesti ilman käyttäjän toimia, kun päivityksiä havaitaan. 
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta

IT-päälliköt (hallinnoidut ympäristöt): 

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.
Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 15.010.20056
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Jatkuva 15.010.20056
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 15.006.30119
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Perinteinen 15.006.30119
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.14 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.14 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940 ja CVE-2016-0941). 
  • Nämä päivitykset ratkaisevat vapautuksen jälkeiseen käyttöön liittyviä haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2016-0935, CVE-2016-1111). 
  • Nämä päivitykset ratkaiset muistin turmelemishaavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945 ja CVE-2016-0946) 
  • Nämä päivitykset ratkaisevat heikkouden, jota hyödyntämällä Javascript API -suorituksen rajoitukset voitiin ohittaa (CVE-2016-0943).
  • Adobe Download Managerin päivitys ratkaisee resurssien hakemiseen käytetyn hakemiston hakupolun haavoittuvuuden, joka voi johtaa koodin suorittamiseen (CVE-2016-0947).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • AbdulAziz Hariri HPE:n Zero Day Initiative -ohjelmasta (CVE-2016-0932, CVE-2016-0937 ja CVE-2016-0943)
  • AbdulAziz Hariri ja Jasiel Spelman HPE:n Zero Day Initiative -ohjelmasta (CVE-2016-0941)
  • Behzad Najjarpour Jabbari Flexera Softwaren Secunia Research -yksiköstä (CVE-2016-0940)
  • Brian Gorenc HPE:n Zero Day Initiative -ohjelmasta (CVE-2016-0931)
  • Chris Navarrete Fortinetin FortiGuard Labsista (CVE-2016-0942)
  • Jaanus Kp Clarified Securitystä yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2016-0936, CVE-2016-0938 ja CVE-2016-0939)
  • kdot yhdessä HPE:n Zero Day Initiative -ohjelman kanssa (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Linan Hao Qihoo 360 Vulcan Teamista (CVE-2016-0944, CVE-2016-0945 ja CVE-2016-0946)
  • Mahinthan Chandramohan, Wei Lei ja Liu Yang yhdessä iDefensen Vulnerability Contributor Program -ohjelman kanssa (CVE-2016-0933)
  • Itsenäisesti ongelmasta raportoineet Vladimir Dubrovin, Eric Lawrence ja Ke Liu Tencentin Xuanwu LABista (CVE-2016-0947)

Versiot

27. huhtikuuta 2016: lisätty CVE-2016-1111, jotka jätettiin vahingossa pois tämän tiedotteen alkuperäisestä versiosta.