Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne są aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader

Data wydania: 5 maja 2016

Data ostatniej aktualizacji: 19 maja 2016 r.

Identyfikator luki: APSB16-14

Priorytet: 2

Numery CVE: CVE-2016-1037, CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1043, CVE-2016-1044, CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1063, CVE-2016-1064, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1075, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1079, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1087, CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, CVE-2016-1093, CVE-2016-1094, CVE-2016-1095, CVE-2016-1112, CVE-2016-1116, CVE-2016-1117, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107, CVE-2016-4119

Platforma: Windows i Macintosh

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń dla programów Adobe Acrobat i Reader dla systemów Windows i Macintosh. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.

Zagrożone wersje

Produkt Ścieżka Zagrożone wersje Platforma
Acrobat DC Rola 15.010.20060 i starsze wersje
Windows i Macintosh
Acrobat Reader DC Rola 15.010.20060 i starsze wersje
Windows i Macintosh
       
Acrobat DC Klasyczny 15.006.30121 i starsze wersje
Windows i Macintosh
Acrobat Reader DC Klasyczny 15.006.30121 i starsze wersje
Windows i Macintosh
       
Acrobat XI Komputer 11.0.15 i starsze wersje Windows i Macintosh
Reader XI Komputer 11.0.15 i starsze wersje Windows i Macintosh

Odpowiedzi na pytania dotyczące programu Acrobat DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat DC. Odpowiedzi na pytania dotyczące programu Acrobat Reader DC można znaleźć na stronie Często zadawane pytania na temat programu Acrobat Reader DC.

Rozwiązanie

Firma Adobe zaleca użytkownikom aktualizację zainstalowanego oprogramowania do najnowszych wersji zgodnie z poniższymi instrukcjami.
Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pośrednictwem jednej z następujących metod:

  • Aktualizacja ręczna po wybraniu opcji Pomoc > Sprawdź aktualizacje.
  • Po wykryciu aktualizacji produkty zostaną zaktualizowane automatycznie — nie będzie wymagana żadna ingerencja użytkownika. 
  • Pełny instalator programu Acrobat Reader można pobrać ze strony Centrum pobierania programu Acrobat Reader.

Dla administratorów z działu IT (środowiska zarządzane):

  • Pobierz instalatory do programów firmowych z adresu ftp://ftp.adobe.com/pub/adobe/ lub znajdź stronę z informacjami na temat konkretnej wersji programu, aby znaleźć łącza do instalatorów. 
  • Zainstaluj aktualizacje, korzystając z ulubionej metody, np. AIP-GPO, bootstrapper, SCUP/SCCM w systemie Windows, bądź Apple Remote Desktop i SSH w systemie Mac OS.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Ścieżka Zaktualizowane wersje Platforma Ocena priorytetu Dostępność
Acrobat DC Rola 15.016.20039
Windows i Macintosh 2 Windows
Macintosh
Acrobat Reader DC Rola 15.016.20039
Windows i Macintosh 2 Centrum pobierania
           
Acrobat DC Klasyczny 15.006.30172
Windows i Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasyczny 15.006.30172
Windows i Macintosh 2 Windows
Macintosh
           
Acrobat XI Komputer 11.0.16 Windows i Macintosh 2 Windows
Macintosh
Reader XI Komputer 11.0.16 Windows i Macintosh 2 Windows
Macintosh

Informacje o luce w zabezpieczeniach

  • Te aktualizacje usuwają luki dotyczące użycia pamięci po jej zwolnieniu, które mogą prowadzić do wykonania kodu (CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1075, CVE-2016-1094, CVE-2016-1121, CVE-2016-1122, CVE-2016-4102, CVE-2016-4107).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2016-4091, CVE-2016-4092).
  • Te aktualizacje usuwają luki w zabezpieczeniach dotyczące uszkodzenia pamięci, które mogą prowadzić do wykonania kodu (CVE-2016-1037, CVE-2016-1063, CVE-2016-1064, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1088, CVE-2016-1093, CVE-2016-1095, CVE-2016-1116, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4119).
  • Te aktualizacje usuwają lukę w zabezpieczeniach związaną z przekroczeniem zakresu liczb całkowitych, która może prowadzić do wykonania kodu (CVE-2016-1043).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na wycieku pamięci (CVE-2016-1079, CVE-2016-1092).
  • Te aktualizacje usuwają problem, który może spowodować ujawnienie informacji (CVE-2016-1112).
  • Te aktualizacje zapobiegają zastosowaniu różnych metod ominięcia ograniczeń wykonywania skryptów API Javascript (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062, CVE-2016-1117).
  • Te aktualizacje eliminują luki w zabezpieczeniach dotyczące ścieżki przeszukiwania katalogów używanej do znajdowania zasobów. Luki te mogą prowadzić do wykonania kodu (CVE-2016-1087, CVE-2016-1090, CVE-2016-4106).

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Jaanus Kääp z firmy Clarified Security (CVE-2016-1088, CVE-2016-1093)
  • Brian Gorenc współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1065)
  • AbdulAziz Hariri współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1076, CVE-2016-1079, CVE-2016-1117)
  • AbdulAziz Hariri i Jasiel Spelman współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1080)
  • Ladislav Baco z firmy CSIRT.SK i Eric Lawrence (CVE-2016-1090)
  • Ke Liu z zespołu Xuanwu LAB firmy Tencent (CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107)
  • kdot współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1063, CVE-2016-1071, CVE-2016-1074, CVE-2016-1075, CVE-2016-1078, CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Sebastian Apelt z firmy Siberas (CVE-2016-1092)
  • Wei Lei i Liu Yang z Uniwersytetu Technologicznego Nanyang (CVE-2016-1116)
  • Pier-Luc Maltais z firmy COSIG (CVE-2016-1077)
  • Matthias Kaiser współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044)
  • Jaanus Kp z firmy Clarified Security i Steven Seeley z firmy Source Incite współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1094).
  • Sebastian Apelt „siberas” współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1072, CVE-2016-1073)
  • Anonim współpracujący w ramach programu Zero Day Initiative firmy Trend Micro (CVE-2016-1043, CVE-2016-1045)
  • kelvinwang z zespołu PC Manager firmy Tencent (CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086)
  • Wei Lei, Wu Hongjun i Liu Yang współpracujący w ramach programu iDefense Vulnerability Contributor (CVE-2016-1037)
  • Alex Inführ z firmy Cure53.de (CVE-2016-1064)
  • Kushal Arvind Shah i Kai Lu z laboratorium FortiGuard Labs firmy Fortinet (CVE-2016-4119)

Wersje

19 maja 2016 r.: Dodano odnośnik do problemu CVE-2016-4119, który został rozwiązany w tej wersji, lecz nieumyślnie pominięto go w treści biuletynu.