Обновления системы безопасности для Adobe Acrobat и Reader

Дата выпуска: 7 января 2016 г.

Последнее обновление: 27 апреля 2016 г.

Идентификатор уязвимости: APSB16-02

Приоритет: см. таблицу ниже

Номера CVE: CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Платформа: Windows и Macintosh

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Затронутые версии

Продукт Отслеживать Затронутые версии Платформа
Acrobat DC Continuous 15.009.20077 и более ранние версии
Windows и Macintosh
Acrobat Reader DC Continuous 15.009.20077 и более ранние версии
Windows и Macintosh
       
Acrobat DC Classic 15.006.30097 и более ранние версии
Windows и Macintosh
Acrobat Reader DC Classic 15.006.30097 и более ранние версии
Windows и Macintosh
       
Acrobat XI Desktop 11.0.13 и более ранние версии Windows и Macintosh
Reader XI Desktop 11.0.13 и более ранние версии Windows и Macintosh

Примечание. Как описано в данной публикации блога, Adobe Acrobat X и Adobe Reader X больше не поддерживаются.  Adobe рекомендует пользователям установить контроллер домена Adobe Acrobat и контроллер домена Adobe Acrobat Reader для новейших функций и обновлений системы безопасности.

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC. При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.   

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.

Новейшие версии продуктов пользователи могут получить одним из следующих способов: 

  • Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений. 
  • Продукты обновляются автоматически при обнаружении обновления обнаружения без вмешательства пользователя. 
  • Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader

Для ИТ-администраторов (в управляемых средах): 

  • Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или воспользуйтесь ссылками на установщики в примечаниях к соответствующей версии. 
  • Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или удаленного рабочего стола Apple и SSH в Macintosh.
Продукт Отслеживать Обновленные версии Платформа Рейтинг приоритета Доступность
Acrobat DC Continuous 15.010.20056
Windows и Macintosh
2 Windows
Macintosh
Acrobat Reader DC Continuous 15.010.20056
Windows и Macintosh 2 Центр загрузки
           
Acrobat DC Classic 15.006.30119
Windows и Macintosh 2 Windows
Macintosh
Acrobat Reader DC Classic 15.006.30119
Windows и Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.14 Windows и Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.14 Windows и Macintosh 2 Windows
Macintosh

Сведения об уязвимости

  • В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940, CVE-2016-0941). 
  • В этих обновлениях устранена уязвимость, связанная с использованием после освобождения памяти, которая могла привести к выполнению кода (CVE-2016-0935, CVE-2016-1111). 
  • В этих обновлениях исправлена проблема, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946). 
  • В этих обновлениях устранена уязвимость метода ограничения во время выполнения JavaScript API (CVE-2016-0943).
  • Обновление до Adobe Download Manager устраняет уязвимость в пути поиска каталога, используемом для поиска ресурсов, которые могли привести к выполнению кода (CVE-2016-0947).

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Абдул-азиз Харири (AbdulAziz Hariri), участник программы HPE Zero Day Initiative (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
  • Абдул-азиз Харири (AbdulAziz Hariri) и Жазиел Спелман (Jasiel Spelman), участники программы HPE Zero Day Initiative (CVE-2016-0941)
  • Бехзад Наджарпур Джабари (Behzad Najjarpour Jabbari), Secunia Research в Flexera Software (CVE-2016-0940)
  • Брайан Горенц (Brian Gorenc), участник программы HPE Zero Day Initiative (CVE-2016-0931)
  • Крис Наварет (Chris Navarrete), Fortinet FortiGuard Labs (CVE-2016-0942)
  • Янус Кейпи (Jaanus Kp) из Clarified Security, участник программы HPE Zero Day Initiative (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
  • Пользователь kdot, участник программы HPE Zero Day Initiative (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Линан Хао (Linan Hao), Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
  • Махинтан Чандрамохан (Mahinthan Chandramohan), Вей Лей (Wei Lei) и Лиу Янг (Liu Yang), участники программы Vulnerability Contributor Program (CVE-2016-0933)
  • Владимир Дубровин, Эрик Лоуренс и Ке Лиу, лаборатория Xuanwu компании Tencent, независимо сообщили о проблеме (CVE -2016-0947)

Редакции

27 апреля 2016 г.: добавлена проблема CVE-2016-1111, которая случайно была исключена из первоначальной версии данного бюллетеня.