Adobe 安全性公告

Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期:2016 年 5 月 5 日

上次更新日期:2016 年 5 月 19 日

弱點識別碼: APSB16-14

優先順序: 2

CVE 編號:  CVE-2016-1037、CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1043、CVE-2016-1044、CVE-2016-1045、CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1062、CVE-2016-1063、CVE-2016-1064、CVE-2016-1065、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1071、CVE-2016-1072、CVE-2016-1073、CVE-2016-1074、CVE-2016-1075、CVE-2016-1076、CVE-2016-1077、CVE-2016-1078、CVE-2016-1079、CVE-2016-1080、CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086、CVE-2016-1087、CVE-2016-1088、CVE-2016-1090、CVE-2016-1092、CVE-2016-1093、CVE-2016-1094、CVE-2016-1095、CVE-2016-1112、CVE-2016-1116、CVE-2016-1117、CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1121、CVE-2016-1122、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4091、CVE-2016-4092、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4102、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4106、CVE-2016-4107, CVE-2016-4119

平台:Windows 和 Macintosh

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 15.010.20060 及舊版
Windows 與 Macintosh
Acrobat Reader DC 連續 15.010.20060 及舊版
Windows 與 Macintosh
       
Acrobat DC 傳統 15.006.30121 及舊版
Windows 與 Macintosh
Acrobat Reader DC 傳統 15.006.30121 及舊版
Windows 與 Macintosh
       
Acrobat XI 桌面 11.0.15 及舊版 Windows 與 Macintosh
Reader XI 桌面 11.0.15 及舊版 Windows 與 Macintosh

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面。如有 Acrobat Reader DC 的相關問題,請前往 Adobe Acrobat Reader DC 常見問題解答集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。
使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。 
  • 偵測到更新時,產品會自動更新,使用者無須操作。 
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 15.016.20039
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC 連續 15.016.20039
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 15.006.30172
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC 傳統 15.006.30172
Windows 與 Macintosh 2 Windows
Macintosh
           
Acrobat XI 桌面 11.0.16 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 桌面 11.0.16 Windows 與 Macintosh 2 Windows
Macintosh

弱點詳細資料

  • 這些更新解決了可能造成程式碼執行的「使用已釋放記憶體」(use-after-free) 弱點 (CVE-2016-1045、CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1065、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1075、CVE-2016-1094、CVE-2016-1121、CVE-2016-1122、CVE-2016-4102、CVE-2016-4107)。
  • 這些更新將解決可能導致程式碼執行的堆積緩衝區溢位弱點 (CVE-2016-4091、CVE-2016-4092)。
  • 這些更新解決了可能造成程式碼執行的記憶體損毀弱點 (CVE-2016-1037、CVE-2016-1063、CVE-2016-1064、CVE-2016-1071、CVE-2016-1072、CVE-2016-1073、CVE-2016-1074、CVE-2016-1076、CVE-2016-1077、CVE-2016-1078、CVE-2016-1080、CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086、CVE-2016-1088、CVE-2016-1093、CVE-2016-1095、CVE-2016-1116、CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4119)。
  • 這些更新可解決可能導致程式碼執行的整數溢位弱點 (CVE-2016-1043)。
  • 這些更新解決了記憶體流失弱點 (CVE-2016-1079、CVE-2016-1092)。
  • 這些更新解決了資訊揭露問題 (CVE-2016-1112)。
  • 這些更新解決了各種略過 Javascript API 執行限制的方式 (CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1044、CVE-2016-1062、CVE-2016-1117)。
  • 這些更新解決了用於尋找可能導致程式碼執行的弱點,這些弱點存在於目錄搜尋路徑當中 (CVE-2016-1087、CVE-2016-1090、CVE-2016-4106)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Clarified Security 的 Jaanus Kääp (CVE-2016-1088、CVE-2016-1093)
  • Brian Gorenc 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1065)
  • AbdulAziz Hariri 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1046、CVE-2016-1047、CVE-2016-1048、CVE-2016-1049、CVE-2016-1050、CVE-2016-1051、CVE-2016-1052、CVE-2016-1053、CVE-2016-1054、CVE-2016-1055、CVE-2016-1056、CVE-2016-1057、CVE-2016-1058、CVE-2016-1059、CVE-2016-1060、CVE-2016-1061、CVE-2016-1062、CVE-2016-1066、CVE-2016-1067、CVE-2016-1068、CVE-2016-1069、CVE-2016-1070、CVE-2016-1076、CVE-2016-1079、CVE-2016-1117)
  • AbdulAziz Hariri 和 Jasiel Spelman 兩人與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1080)
  • CSIRT.SK 的 Ladislav Baco 和 Eric Lawrence (CVE-2016-1090)
  • Tencent 玄武實驗室的 Ke Liu (CVE-2016-1118、CVE-2016-1119、CVE-2016-1120、CVE-2016-1121、CVE-2016-1122、CVE-2016-1123、CVE-2016-1124、CVE-2016-1125、CVE-2016-1126、CVE-2016-1127、CVE-2016-1128、CVE-2016-1129、CVE-2016-1130、CVE-2016-4088、CVE-2016-4089、CVE-2016-4090、CVE-2016-4091、CVE-2016-4092、CVE-2016-4093、CVE-2016-4094、CVE-2016-4096、CVE-2016-4097、CVE-2016-4098、CVE-2016-4099、CVE-2016-4100、CVE-2016-4101、CVE-2016-4102、CVE-2016-4103、CVE-2016-4104、CVE-2016-4105、CVE-2016-4106、CVE-2016-4107)
  • kdot 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1063、CVE-2016-1071、CVE-2016-1074、CVE-2016-1075、CVE-2016-1078、CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Siberas 的 Sebastian Apelt (CVE-2016-1092)
  • 南洋理工大學的 Wei Lei 和 Liu Yang (CVE-2016-1116)
  • COSIG 的 Pier-Luc Maltais (CVE-2016-1077)
  • Matthias Kaiser 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1038、CVE-2016-1039、CVE-2016-1040、CVE-2016-1041、CVE-2016-1042、CVE-2016-1044)
  • Clarified Security 的Jaanus Kp 和來自 Source Incite 與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (CVE-2016-1094)
  • 參與 Trend Micro Zero Day Initiative 計畫、Siberas 的 Sebastian Apelt (CVE-2016-1072、CVE-2016-1073)
  • 匿名人士與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-1043、CVE-2016-1045)
  • Tencent PC Manager 的 kelvinwang (CVE-2016-1081、CVE-2016-1082、CVE-2016-1083、CVE-2016-1084、CVE-2016-1085、CVE-2016-1086)
  • Wei Lei、Wu Hongjun 及 Liu Yang 三人與 iDefense Vulnerability Contributor Program 攜手合作 (CVE-2016-1037)
  • Cure53.de 的 Alex Inführ (CVE-2016-1064)
  • Fortinet FortiGuard Labs 的 Kushal Arvind Shah 和 Kai Lu (CVE-2016-4119)

修訂

2016 年 5 月 19 日: 新增 CVE-2016-4119,其已在此發佈中解決,但不慎在原本的公告中遺漏。