Sikkerhetsoppdateringer tilgjengelig for Adobe Acrobat og Reader

Utgivelsesdato: 7. januar 2016

Sist oppdatert: 27. april 2016

Sikkerhetsbruddidentifikator: APSB16-02

Prioritet: Se tabellen nedenfor

CVE-numre:  CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Plattform: Windows og Macintosh

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat og Reader for Windows og Macintosh. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Berørte versjoner

Produkt Spor Berørte versjoner Plattform
Acrobat DC Kontinuerlig 15.009.20077 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Kontinuerlig 15.009.20077 og tidligere versjoner
Windows og Macintosh
       
Acrobat DC Klassisk 15.006.30097 og tidligere versjoner
Windows og Macintosh
Acrobat Reader DC Klassisk 15.006.30097 og tidligere versjoner
Windows og Macintosh
       
Acrobat XI Datamaskin 11.0.13 og tidligere versjoner Windows og Macintosh
Reader XI Datamaskin 11.0.13 og tidligere versjoner Windows og Macintosh

Obs! Adobe Acrobat X og Adobe Reader X støttes ikke lenger, som beskrevet i dette blogginnlegget.  Adobe anbefaler at brukere installerer Adobe Acrobat DC og Adobe Acrobat Reader DC for å få de nyeste funksjonene og sikkerhetsoppdateringene.

Hvis du har spørsmål om Acrobat DC, kan du gå til siden med vanlige spørsmål for Acrobat DC. Hvis du har spørsmål om Acrobat Reader DC, kan du gå til siden med vanlige spørsmål for Acrobat Reader DC.

Løsning

Adobe anbefaler at brukere oppdaterer sine programvareinstallasjoner til de nyeste versjonene ved å følge instruksjonene nedenfor:

De nyeste produktversjonene er tilgjengelige for sluttbrukere via én av følgende metoder: 

  • Brukere kan oppdatere produktinstallasjonene manuelt ved å velge Hjelp > Se etter oppdateringer. 
  • Produktene oppdateres automatisk når oppdateringer oppdages, uten brukermedvirkning. 
  • Det fullstendige installasjonsprogrammet for Acrobat Reader kan lastes ned fra nedlastingssenteret for Acrobat Reader

For IT-administratorer (administrerte miljøer): 

  • Last ned installasjonsprogrammer for bedrifter fra ftp://ftp.adobe.com/pub/adobe/, eller se de spesifikke produktmerknadene for koblinger til installasjonsprogrammer.
  • Installasjonsoppdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM (Windows) eller på Macintosh, Apple Remote Desktop og SSH.
Produkt Track Oppdaterte versjoner Plattform Prioritet Klassifisering Tilgjengelighet
Acrobat DC Kontinuerlig 15.010.20056
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC Kontinuerlig 15.010.20056
Windows og Macintosh 2 Nedlastingssenter
           
Acrobat DC Klassisk 15.006.30119
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC Klassisk 15.006.30119
Windows og Macintosh 2 Windows
Macintosh
           
Acrobat XI Datamaskin 11.0.14 Windows og Macintosh 2 Windows
Macintosh
Reader XI Datamaskin 11.0.14 Windows og Macintosh 2 Windows
Macintosh

Mer informasjon om sikkerhetsproblemet

  • Disse oppdateringene løser use-after-free-sikkerhetsproblemer som kan føre til kjøring av kode (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940, CVE-2016-0941). 
  • Disse oppdateringene løser et double free-sikkerhetsproblem som kan føre til kjøring av kode (CVE-2016-0935, CVE-2016-1111). 
  • Disse oppdateringene løser problemer med minneødeleggelse som kan føre til kjøring av kode (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946). 
  • Disse oppdateringene løser en metode for å omgå begrensningene i Javascript-API-kjøring (CVE-2016-0943).
  • En oppdatering av Adobe Download Manager løser et sikkerhetsproblem i mappesøkebanen som brukes til å finne ressurser, som kan føre til kjøring av kode (CVE-2016-0947).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • AbdulAziz Hariri fra HPEs Zero Day Initiative (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
  • AbdulAziz Hariri og Jasiel Spelman fra HPEs Zero Day Initiative (CVE-2016-0941)
  • Behzad Najjarpour Jabbari, Secunia Research fra Flexera Software (CVE-2016-0940)
  • Brian Gorenc fra HPEs Zero Day Initiative (CVE-2016-0931)
  • Chris Navarrete fra Fortinets FortiGuard Labs (CVE-2016-0942)
  • Jaanus Kp fra Clarified Security, i samarbeid med HPEs Zero Day Initiative (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
  • kdot i samarbeid med HPEs Zero Day Initiative (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Linan Hao fra Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
  • Mahinthan Chandramohan, Wei Lei og Liu Yang i samarbeid med iDefenses Vulnerability Contributor Program (CVE-2016-0933)
  • Uavhengig rapportert av Vladimir Dubrovin, Eric Lawrence og Ke Liu fra Tencents Xuanwu LAB (CVE-2016-0947)

Revisjoner

27. april 2016: Lagt til CVE-2016-1111 som utilsiktet ble utelatt fra den opprinnelige versjonen av denne bulletinen.