Adobe Reader ve Acrobat için mevcut Güvenlik Güncellemeleri

Yayın tarihi: 6 Ekim 2016

Son güncelleme: 10 Kasım, 2016

Güvenlik açığı tanımlayıcısı: APSB16-33

Öncelik: 2

CVE numaralarıCVE-2016-1089, CVE-2016-1091, CVE-2016-4095, CVE-2016-6939, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6947, CVE-2016-6948, CVE-2016-6949, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6957, CVE-2016-6958, CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6970, CVE-2016-6971, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854

Platform: Windows ve Macintosh

CVE-2016-6937
CVE-2016-6937

Özet

Adobe Windows ve Macintosh'ta Adobe Acrobat ve Reader için güvenlik güncellemeleri yayınladı. Bu güncellemeler, bir saldırganın etkilenen sistemin kontrolünü ele geçirmesine potansiyel olarak izin verebilecek kritik güvenlik açıklarına yöneliktir.

Etkilenen Sürümler

Ürün Track Etkilenen Sürümler Platform
Acrobat DC Sürekli 15.017.20053 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC Sürekli 15.017.20053 ve önceki sürümler
Windows ve Macintosh
       
Acrobat DC Klasik 15.006.30201 ve önceki sürümler
Windows ve Macintosh
Acrobat Reader DC Klasik 15.006.30201 ve önceki sürümler
Windows ve Macintosh
       
Acrobat XI Masaüstü 11.0.17 ve önceki sürümler Windows ve Macintosh
Reader XI Masaüstü 11.0.17 ve önceki sürümler Windows ve Macintosh

Acrobat DC ile ilgili sorularınız için lütfen Acrobat DC FAQ sayfasını ziyaret edin. Acrobat Reader DC ile ilgili sorularınız için lütfen Acrobat Reader DC SSS sayfasını ziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:

  • Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler. 
  • Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir. 
  • Acrobat Reader tam sürümü Acrobat Reader Karşıdan Yükleme Merkezi'nden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):

  • ftp://ftp.adobe.com/pub/adobe/ adresinden kuruluş yükleyicilerini indirin ya da yükleyici bağlantıları için özel sürüm notuna bakın. 
  • İstediğiniz yöntem ile güncellemeleri kurun, örneğin AIP-GPO, bootstrapper, SCUP/SCCM (Windows), veya Macintosh'da, Apple Uzaktan Masaüstü ve SSH.

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmeleri ile kategorize etmektedir ve kullanıcıların kurulumlarını en güncel sürüme yükseltmelerini önermektedir:

Ürün Track Güncel Sürümler Platform Öncelik Derecelendirmesi Bulunma Durumu
Acrobat DC Sürekli 15.020.20039
Windows ve Macintosh 2 Windows
Macintosh
Acrobat Reader DC Sürekli 15.020.20039
Windows ve Macintosh 2 Karşıdan Yükleme Merkezi
           
Acrobat DC Klasik 15.006.30243
Windows ve Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasik 15.006.30243
Windows ve Macintosh 2 Windows
Macintosh
           
Acrobat XI Masaüstü 11.0.18 Windows ve Macintosh 2 Windows
Macintosh
Reader XI Masaüstü 11.0.18 Windows ve Macintosh 2 Windows
Macintosh

Güvenlik Açığı Detayları

  • Bu güncellemeler kod yürütmesine neden olabilecek kullanım sonrası güvenlik açıklarını çözer (CVE-2016-1089, CVE-2016-1091, CVE-2016-6944, CVE-2016-6945, CVE-2016-6946, CVE-2016-6949, CVE-2016-6952, CVE-2016-6953, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6967, CVE-2016-6968, CVE-2016-6969, CVE-2016-6971, CVE-2016-6979, CVE-2016-6988, CVE-2016-6993).
  • Bu güncellemeler, kod yürütmesine neden olabilecek bellek taşması güvenlik açıkları sorununu gidermektedir (CVE-2016-6939, CVE-2016-6994).
  • Bu güncellemeler kod yürütmesine neden olabilecek bellek bozulması güvenlik açığı sorunlarını çözmektedir (CVE-2016-4095, CVE-2016-6940, CVE-2016-6941, CVE-2016-6942, CVE-2016-6943, CVE-2016-6947, CVE-2016-6948, CVE-2016-6950, CVE-2016-6951, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956, CVE-2016-6959, CVE-2016-6960, CVE-2016-6966, CVE-2016-6970, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6978, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7012, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853, CVE-2016-7854).
  • Bu güncellemeler, Javascript API yürütmede kısıtlamaları atlamaya dair çeşitli yöntemlere yöneliktir (CVE-2016-6957).
  • Bu güncellemeler güvenlik atlama açığı sorununu gidermektedir (CVE-2016-6958).
  • Bu güncellemeler, kod yürütmesine neden olabilecek bir tamsayı taşması güvenlik açığı sorununu gidermektedir (CVE-2016-6999).

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • iDefense ile birlikte çalışan Source Incite'den Steven Seeley (CVE-2016-6949)
  • Jaanus Kääp, Clarified Security (CVE-2016-1089, CVE-2016-1091, CVE-2016-6954, CVE-2016-6955, CVE-2016-6956)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Source Incite'den Steven Seeley (CVE-2016-6971)
  • Kushal Arvind Shah, Fortinet's FortiGuard Labs (CVE-2016-6948)
  • Dmitri Kaslov (CVE-2016-7012)
  • AbdulAziz Hariri, Trend Micro's Zero Day Initiative (CVE-2016-6944, CVE-2016-6945)
  • Tencent's Xuanwu LAB'den Ke Liu (CVE-2016-4095, CVE-2016-6993, CVE-2016-6994, CVE-2016-6995, CVE-2016-6996, CVE-2016-6997, CVE-2016-6998, CVE-2016-6999, CVE-2016-7000, CVE-2016-7001, CVE-2016-7002, CVE-2016-7003, CVE-2016-7004, CVE-2016-7005, CVE-2016-7006, CVE-2016-7007, CVE-2016-7008, CVE-2016-7009, CVE-2016-7010, CVE-2016-7011, CVE-2016-7013, CVE-2016-7014, CVE-2016-7015, CVE-2016-7016, CVE-2016-7017, CVE-2016-7018, CVE-2016-7019, CVE-2016-7852, CVE-2016-7853)
  • Trend Micro Zero Day Initiative ile çalışan kdot (CVE-2016-6940, CVE-2016-6941, CVE-2016-7854)
  • Trend Micro Zero Day Initiative ile çalışan Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang (CVE-2016-6969)
  • Aakash Jain ve Dhanesh Kizhakkinan, FireEye Inc. (CVE-2016-6943)
  • Trend Micro's Zero Day Initiative ile birlikte çalışan Sebastian Apelt Siberas (CVE-2016-6942, CVE-2016-6946, CVE-2016-6947, CVE-2016-6950, CVE-2016-6951, CVE-2016-6952, CVE-2016-6953, CVE-2016-6988)
  • Trend Micro's Zero Day Initiative üzerinden isimsiz olarak rapor edildi (CVE-2016-6959, CVE-2016-6960, CVE-2016-6961, CVE-2016-6962, CVE-2016-6963, CVE-2016-6964, CVE-2016-6965, CVE-2016-6966, CVE-2016-6967, CVE-2016-6968, CVE-2016-6972, CVE-2016-6973, CVE-2016-6974, CVE-2016-6975, CVE-2016-6976, CVE-2016-6977, CVE-2016-6979)
  • Abdulrahman Alqabandi (CVE-2016-6970)
  • Trend Micro Zero Day Initiative ile çalışan Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang (CVE-2016-6978)
  • Kai Lu of, Fortinet's FortiGuard Labs (CVE-2016-6939)
  • Gal De Leon, Palo Alto Networks (CVE-2016-6957, CVE-2016-6958)

Revizyonlar

21 Ekim 2016: Bültenden sehven çıkarılmış olan CVE-2016-6940, CVE-2016-6941, CVE-2016-7854 ve CVE-2016-7854 öğelerine atıflar eklendi.

10 Kasım 2016: Bültenden sehven çıkarılmış olan CVE-2016-7854'ye atıflar eklendi.