Adoben tietoturvatiedote

Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 5. toukokuuta 2016

Viimeksi päivitetty: 19. toukokuuta 2016

Haavoittuvuuden tunniste: APSB16-14

Prioriteetti: 2

CVE-numerot: CVE-2016-1037, CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1043, CVE-2016-1044, CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1063, CVE-2016-1064, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1075, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1079, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1087, CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, CVE-2016-1093, CVE-2016-1094, CVE-2016-1095, CVE-2016-1112, CVE-2016-1116, CVE-2016-1117, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107, CVE-2016-4119

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 15.010.20060 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 15.010.20060 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 15.006.30121 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 15.006.30121 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.15 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.15 ja aiemmat versiot Windows ja Macintosh

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus. 
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu. 
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 15.016.20039
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Jatkuva 15.016.20039
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 15.006.30172
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Perinteinen 15.006.30172
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.16 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.16 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat vapautuksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1075, CVE-2016-1094, CVE-2016-1121, CVE-2016-1122, CVE-2016-4102, CVE-2016-4107).
  • Nämä päivitykset ratkaisevat kekopuskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2016-4091 ja CVE-2016-4092).
  • Nämä päivitykset ratkaisevat muistin vioittumishaavoittuvuuksia, jotka voivat johtaa koodin suorittamiseen (CVE-2016-1037, CVE-2016-1063, CVE-2016-1064, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1088, CVE-2016-1093, CVE-2016-1095, CVE-2016-1116, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4119).
  • Nämä päivitykset ratkaisevat kokonaisluvun ylivuoto-ongelman, joka voi johtaa koodin suoritukseen (CVE-2016-1043).
  • Nämä päivitykset ratkaisevat muistin ylivuotohaavoittuvuuksia (CVE-2016-1079, CVE-2016-1092).
  • Nämä päivitykset ratkaisevat tietojen paljastumisongelman (CVE-2016-1112).
  • Nämä päivitykset ratkaisevat eri menetelmiä, joilla Javascript API:n suoritusrajoituksia voitiin ohittaa (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062, CVE-2016-1117).
  • Nämä päivitykset ratkaisevat resurssien hakemiseen käytetyn hakemiston hakupolkuun liittyvän haavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2016-1087, CVE-2016-1090, CVE-2016-4106).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Jaanus Kääp Clarified Securitystä (CVE-2016-1088, CVE-2016-1093)
  • Brian Gorenc yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1065)
  • AbdulAziz Hariri yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1076, CVE-2016-1079, CVE-2016-1117)
  • AbdulAziz Hariri ja Jasiel Spelman yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1080)
  • Ladislav Baco CSIRT.SK:sta ja Eric Lawrence (CVE-2016-1090)
  • Ke Liu Tencentin Xuanwu LABista (CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107)
  • kdot yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1063, CVE-2016-1071, CVE-2016-1074, CVE-2016-1075, CVE-2016-1078, CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Sebastian Apelt Siberasista (CVE-2016-1092)
  • Wei Lei ja Liu Yang Nanyangin teknisestä yliopistosta (CVE-2016-1116)
  • Pier-Luc Maltais COSIG:stä (CVE-2016-1077)
  • Matthias Kaiser yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044)
  • Jaanus Kp Clarified Securitystä ja Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1094)
  • Sebastian Apelt siberasista yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2016-1072, CVE-2016-1073)
  • Nimetön yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2016-1043, CVE-2016-1045)
  • kelvinwang Tencent PC Managerista (CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086)
  • Wei Lei, Wu Hongjun ja Liu Yang yhdessä iDefense Vulnerability Contributor Program -ohjelman kanssa (CVE-2016-1037)
  • Alex Inführ Cure53.destä (CVE-2016-1064)
  • Kushal Arvind Shah ja Kai Lu Fortinetin FortiGuard Labsista (CVE-2016-4119)

Versiot

19. toukokuuta 2016: lisätty CVE-2016-4119, joka ratkaistiin tässä julkaisussa mutta jätettiin vahingossa pois tiedotteen alkuperäisestä versiosta.