Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Acrobat und Reader

Freigabedatum: 7. Januar 2016

Letzte Aktualisierung: 27. April 2016

Kennung der Sicherheitslücke: APSB16-02

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Plattform: Windows und Macintosh

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC Fortlaufend 15.009.20077 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Fortlaufend 15.009.20077 und frühere Versionen
Windows und Macintosh
       
Adobe Acrobat DC Klassisch 15.006.30097 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC Klassisch 15.006.30097 und frühere Versionen
Windows und Macintosh
       
Acrobat XI Nur Desktop-Applikation 11.0.13 und frühere Versionen Windows und Macintosh
Reader XI Nur Desktop-Applikation 11.0.13 und frühere Versionen Windows und Macintosh

Hinweis: Adobe Acrobat X und Adobe Reader X werden gemäß der Bekanntgabe im Blogbeitrag nicht mehr unterstützt. Adobe empfiehlt Benutzern, Adobe Acrobat DC und Adobe Acrobat Reader DC für die neuesten Features und Sicherheitsaktualisierungen zu installieren.

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite FAQ | Adobe Acrobat DC. Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite FAQ | Adobe Acrobat Reader DC.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.

Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden automatisch aktualisiert, wenn Updates ermittelt werden, ohne dass eine Benutzerinteraktion erforderlich ist. 
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.
Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC Fortlaufend 15.010.20056
Windows und Macintosh 2

Windows
Macintosh

Acrobat Reader DC Fortlaufend 15.010.20056
Windows und Macintosh 2 Download-Center
           
Adobe Acrobat DC Klassisch 15.006.30119
Windows und Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisch 15.006.30119
Windows und Macintosh 2 Windows
Macintosh
           
Acrobat XI Nur Desktop-Applikation 11.0.14 Windows und Macintosh 2 Windows
Macintosh
Reader XI Nur Desktop-Applikation 11.0.14 Windows und Macintosh 2 Windows
Macintosh

Sicherheitslückendetails

  • Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (-2016-0932, -2016-0934, -2016-0937, -2016-0940, -2016-0941, CVE-, CVE-, CVE-, CVE-, CVE) könnte. 
  • Diese Updates schließen „Double-Free“-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2016-0935, CVE-2016-1111). 
  • Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen könnten und die Ausführung von Code ermöglichen (-2016-0931, -2016-0933, -2016-0936, -2016-0938, -2016-0939, -2016-0942, -2016-0944, -2016-0945, CVE-2016-0946, CVE-, CVE-, CVE-, CVE-, CVE-, CVE-, CVE-, CVE). 
  • Diese Updates beheben eine Methode zum Umgehen von Einschränkungen bei der JavaScript-API-Ausführung (CVE-2016-0943). 
  • Mit einem Update am Adobe Download Manager wird eine Schwachstelle im Verzeichnissuchpfad behoben, der zum Suchen nach Ressourcen verwendet wurde, die zu einer Codeausführung führen könnten (CVE-2016-0947).

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • AbdulAziz Hariri der Zero Day Initiative von HPE (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
  • AbdulAziz Hariri und Jasiel Spelman der Zero Day Initiative von HPE (CVE-2016-0941)
  • Behzad Najjarpour Jabbari, Secunia Research bei Flexera Software (CVE-2016-0940)
  • Brian Gorenc der Zero Day Initiative von HPE (CVE-2016-0931)
  • Chris Navarrete von den FortiGuard Labs bei Fortinet (CVE-2016-0942)
  • Jaanus Kp von Clarified Security, der mit der Zero Day Initiative von HPE (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
    arbeitet
  • kdot in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Linan Hao vom Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
  • Mahinthan Chandramohan, Wei Lei und Liu Yang, die mit dem Vulnerability Contributor Program (CVE-2016-0933) von iDefense arbeiten
  • Unabhängig von Vladimir Dubrovin, Eric Lawrence und Ke Liu von Tencent's Xuanwu LAB gemeldet (CVE-2016-0947)

Historie

27. April 2016: CVE-2016-1111 wurde hinzugefügt, die versehentlich nicht in der ursprünglichen Version dieses Bulletins aufgeführt wurde.