Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期:2016 年 7 月 7 日

上次更新日期:2016 年 9 月 12 日

弱點識別碼: APSB16-26

優先順序: 2

CVE 編號: CVE-2016-4191、CVE-2016-4192、CVE-2016-4193、CVE-2016-4194、CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4198、CVE-2016-4199、CVE-2016-4200、CVE-2016-4201、CVE-2016-4202、CVE-2016-4203、CVE-2016-4204、CVE-2016-4205、CVE-2016-4206、CVE-2016-4207、CVE-2016-4208、CVE-2016-4209、CVE-2016-4210、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4215、CVE-2016-4250、CVE-2016-4251、CVE-2016-4252、CVE-2016-4254、CVE-2016-4255、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269、CVE-2016-4270、CVE-2016-6937、CVE-2016-6938

平台:Windows 和 Macintosh

CVE-2016-6937
CVE-2016-6937

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 15.016.20045 及舊版
Windows 與 Macintosh
Acrobat Reader DC 連續 15.016.20045 及舊版
Windows 與 Macintosh
       
Acrobat DC 傳統 15.006.30174 及舊版
Windows 與 Macintosh
Acrobat Reader DC 傳統 15.006.30174 及舊版
Windows 與 Macintosh
       
Acrobat XI 桌面 11.0.16 及舊版 Windows 與 Macintosh
Reader XI 桌面 11.0.16 及舊版 Windows 與 Macintosh

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面。如有 Acrobat Reader DC 的相關問題,請前往 Adobe Acrobat Reader DC 常見問題解答集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。 
  • 偵測到更新時,產品會自動更新,使用者無須操作。 
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 15.017.20050
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC 連續 15.017.20050
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 15.006.30198
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC 傳統 15.006.30198
Windows 與 Macintosh 2 Windows
Macintosh
           
Acrobat XI 桌面 11.0.17 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 桌面 11.0.17 Windows 與 Macintosh 2 Windows
Macintosh

弱點詳細資料

  • 這些更新可解決可能導致程式碼執行的整數溢位弱點 (CVE-2016-4210)。
  • 這些更新能解決可能導致程式碼執行的釋放後繼續使用弱點 (CVE-2016-4255、CVE-2016-6938)。
  • 這些更新可解決可能導致程式碼執行的堆積緩衝區溢出弱點 (CVE-2016-4209)。
  • 這些更新解決了各種略過 Javascript API 執行限制的方式 (CVE-2016-4215)。
  • 這些更新解決了可能造成程式碼執行的記憶體損毀弱點 (CVE-2016-4254、CVE-2016-4191、CVE-2016-4192、CVE-2016-4193、CVE-2016-4194、CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4198、CVE-2016-4199、CVE-2016-4200、CVE-2016-4201、CVE-2016-4202、CVE-2016-4203、CVE-2016-4204、CVE-2016-4205、CVE-2016-4206、CVE-2016-4207、CVE-2016-4208、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4250、CVE-2016-4251、CVE-2016-4252、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269、CVE-2016-4270、CVE-2016-6937)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Clarified Security 的 Jaanus Kääp、Tencent 玄武實驗室的 Ke Liu 及 COSIG 的 Sébastien Morin (CVE-2016-4201)
  • Fortinet's FortiGuard Labs 的 Kai Lu、Clarified Security 的 Jaanus Kääp、Tencent 玄武實驗室的 Ke Liu 及 COSIG 的 Sébastien Morin (CVE-2016-4203)
  • COSIG 的 Sébastien Morin 及 Tencent 玄武實驗室的 Ke Liu (CVE-2016-4208)
  • Clarified Security 的 Jaanus Kääp (CVE-2016-4252)
  • 南洋理工大學的 Wei Lei Sun Zhihao 和 Liu Yang 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-4198)
  • Cure 53 的 Alex Inführ 和 Masato Kinugawa (CVE-2016-4215)
  • Tencent 玄武實驗室的 Ke Liu (CVE-2016-4254、CVE-2016-4193、CVE-2016-4194、CVE-2016-4209、CVE-2016-4210、CVE-2016-4211、CVE-2016-4212、CVE-2016-4213、CVE-2016-4214、CVE-2016-4250)
  • AbdulAziz Hariri 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-4195、CVE-2016-4196、CVE-2016-4197、CVE-2016-4199、CVE-2016-4200、CVE-2016-4202)
  • COSIG 的 Sébastien Morin (CVE-2016-4206、CVE-2016-4207)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Kdot (CVE-2016-4191、CVE-2016-4268、CVE-2016-4270)
  • Stanko Jankovic (CVE-2016-4192)
  • Clarified Security 的 Jaanus Kp 與 Trend Micro Zero Day Initiative 攜手合作 (CVE-2016-4255、CVE-2016-4251)
  • COSIG 的 Sébastien Morin 和 Pier-Luc Maltais (CVE-2016-4204、CVE-2016-4205)
  • 來自 Source Incite 並與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4269、CVE-2016-6937、CVE-2016-6938) 

修訂

2016 年 7 月 12 日: CVE-2016-4189 和 CVE-2016-4190 已分別以 CVE-2016-4254 和 CVE-2016-4255 取代。

2016 年 8 月 23 日: 新增不慎在公告中遺漏的 CVE-2016-4265、CVE-2016-4266、CVE-2016-4265、CVE-2016-4266、CVE-2016-4267、CVE-2016-4268、CVE-2016-4269 和 CVE-2016-4270 之相關參照。 

2016 年 9 月 12 日: 新增不慎在公告中遺漏的 CVE-2016-6937 和 CVE-2016-6938 之相關參照。