Adobe Acrobat 和 Reader 的安全性更新已推出

發佈日期: 2016 年 10 月 6 日

上次更新日期:2016 年 11 月 10 日

弱點識別碼: APSB16-33

優先順序: 2

CVE 編號: CVE-2016-1089、CVE-2016-1091、CVE-2016-4095、CVE-2016-6939、CVE-2016-6940、CVE-2016-6941、CVE-2016-6942、CVE-2016-6943、CVE-2016-6944、CVE-2016-6945、CVE-2016-6946、CVE-2016-6947、CVE-2016-6948、CVE-2016-6949、CVE-2016-6950、CVE-2016-6951、CVE-2016-6952、CVE-2016-6953、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956、CVE-2016-6957、CVE-2016-6958、CVE-2016-6959、CVE-2016-6960、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6966、CVE-2016-6967、CVE-2016-6968、CVE-2016-6969、CVE-2016-6970、CVE-2016-6971、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6978、CVE-2016-6979、CVE-2016-6988、CVE-2016-6993、CVE-2016-6994、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-6999、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7012、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853、CVE-2016-7854

平台:Windows 和 Macintosh

CVE-2016-6937
CVE-2016-6937

摘要

Adobe 已發佈 Windows 和 Macintosh 專用 Adobe Acrobat 和 Reader 的安全性更新。這些更新可解決可能允許攻擊者控制受影響系統的重大弱點。

受影響的版本

產品 追蹤 受影響的版本 平台
Acrobat DC 連續 15.017.20053 及舊版
Windows 與 Macintosh
Acrobat Reader DC 連續 15.017.20053 及舊版
Windows 與 Macintosh
       
Acrobat DC 傳統 15.006.30201 及舊版
Windows 與 Macintosh
Acrobat Reader DC 傳統 15.006.30201 及舊版
Windows 與 Macintosh
       
Acrobat XI 桌面 11.0.17 及舊版 Windows 與 Macintosh
Reader XI 桌面 11.0.17 及舊版 Windows 與 Macintosh

如有 Acrobat DC 的相關問題,請前往 Acrobat DC 常見問答集頁面。如有 Acrobat Reader DC 的相關問題,請前往 Adobe Acrobat Reader DC 常見問題解答集頁面

解決方法

Adobe 建議使用者依照下列說明,將其軟體安裝更新至最新版本。

使用者可透過下列其中一個方法,取得最新的產品版本:

  • 使用者可手動更新產品安裝,方法是選擇「說明 > 檢查更新」。 
  • 偵測到更新時,產品會自動更新,使用者無須操作。 
  • 您可前往 Acrobat Reader 下載中心下載完整的 Acrobat Reader 安裝程式。

若您是 IT 管理員 (受管理的環境):

  • 請前往 ftp://ftp.adobe.com/pub/adobe/ 下載企業版安裝程式,或參閱特定版本的版本資訊取得安裝程式連結。
  • 透過慣用的方式安裝更新,例如 AIP-GPO、啟動載入器、SCUP/SCCM (Windows);若為 Macintosh,可透過 Apple Remote Desktop 及 SSH 安裝。

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 追蹤 更新版本 平台 優先順序分級 上市情況
Acrobat DC 連續 15.020.20039
Windows 與 Macintosh 2 Windows
Macintosh
Acrobat Reader DC 連續 15.020.20039
Windows 與 Macintosh 2 下載中心
           
Acrobat DC 傳統 15.006.30243
Windows 與 Macintosh
2 Windows
Macintosh
Acrobat Reader DC 傳統 15.006.30243
Windows 與 Macintosh 2 Windows
Macintosh
           
Acrobat XI 桌面 11.0.18 Windows 與 Macintosh 2 Windows
Macintosh
Reader XI 桌面 11.0.18 Windows 與 Macintosh 2 Windows
Macintosh

弱點詳細資料

  • 此更新可解決可能導致程式碼執行的釋出後使用弱點 (CVE-2016-1089、CVE-2016-1091、CVE-2016-6944、CVE-2016-6945、CVE-2016-6946、CVE-2016-6949、CVE-2016-6952、CVE-2016-6953、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6967、CVE-2016-6968、CVE-2016-6969、CVE-2016-6971、CVE-2016-6979、CVE-2016-6988、CVE-2016-6993)。
  • 這些更新可解決可能導致程式碼執行的堆積緩衝區溢位弱點 (-6939、CVE-2016-、CVE-2016-6994)。
  • 這些更新能解決可能導致程式碼執行的記憶體損毀弱點 (CVE-2016-4095、CVE-2016-6940、CVE-2016-6941、CVE-2016-6942、CVE-2016-6943、CVE-2016-6947、CVE-2016-6948、CVE-2016-6950、CVE-2016-6951、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956、CVE-2016-6959、CVE-2016-6960、CVE-2016-6966、CVE-2016-6970、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6978、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7012、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853、CVE-2016-7854)。
  • 這些更新可解決略過 Javascript API 執行限制的多種方式 (CVE-2016-6957)。
  • 這些更新可解決略過安全性弱點 (CVE-2016-6958)。
  • 這些更新可解決可能導致程式碼執行的整數溢位弱點 (CVE-2016-6999)。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • 與 iDefense 合作的 Steven Seeley (Source Incite) (CVE-2016-6949)
  • Clarified Security 的 Jaanus Kääp (CVE-2016-1089、CVE-2016-1091、CVE-2016-6954、CVE-2016-6955、CVE-2016-6956)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Steven Seeley (Source Incite) (CVE-2016-6971)
  • Fortinet FortiGuard Labs 的 Kushal Arvind Shah (CVE-2016-6948)
  • Dmitri Kaslov (CVE-2016-7012)
  • 趨勢科技零時差漏洞懸賞計畫的 AbdulAziz Hariri (CVE-2016-6944、CVE-2016-6945)
  • 騰訊玄武實驗室的 Ke Liu (CVE-2016-4095、CVE-2016-6993、CVE-2016-6994、CVE-2016-6995、CVE-2016-6996、CVE-2016-6997、CVE-2016-6998、CVE-2016-6999、CVE-2016-7000、CVE-2016-7001、CVE-2016-7002、CVE-2016-7003、CVE-2016-7004、CVE-2016-7005、CVE-2016-7006、CVE-2016-7007、CVE-2016-7008、CVE-2016-7009、CVE-2016-7010、CVE-2016-7011、CVE-2016-7013、CVE-2016-7014、CVE-2016-7015、CVE-2016-7016、CVE-2016-7017、CVE-2016-7018、CVE-2016-7019、CVE-2016-7852、CVE-2016-7853)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Kdot (CVE-2016-6940、CVE-2016-6941、CVE-2016-7854)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Wei Lei 和 Liu Yang (南洋理工大學) (CVE-2016-6969)
  • FireEye Inc. 的 Aakash Jain 和 Dhanesh Kizhakkinan (CVE-2016-6943)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Sebastian Apelt Siberas (CVE-2016-6942、CVE-2016-6946、CVE-2016-6947、CVE-2016-6950、CVE-2016-6951、CVE-2016-6952、CVE-2016-6953、CVE-2016-6988)
  • 透過趨勢科技零時差漏洞懸賞計畫的匿名回報 (CVE-2016-6959、CVE-2016-6960、CVE-2016-6961、CVE-2016-6962、CVE-2016-6963、CVE-2016-6964、CVE-2016-6965、CVE-2016-6966、CVE-2016-6967、CVE-2016-6968、CVE-2016-6972、CVE-2016-6973、CVE-2016-6974、CVE-2016-6975、CVE-2016-6976、CVE-2016-6977、CVE-2016-6979)
  • Abdulrahman Alqabandi (CVE-2016-6970)
  • 與趨勢科技零時差漏洞懸賞計畫合作的 Wei Lei 和 Liu Yang (南洋理工大學) (CVE-2016-6978)
  • Kai Lu,透過 Fortinet 的 FortiGuard Labs 通報 (CVE-2016-6939)
  • Palo Alto Networks 的 Gal De Leon (CVE-2016-6957、CVE-2016-6958)

修訂

2016 年 10 月 21 日: 新增不慎在公告中遺漏的 CVE-2016-7852、CVE-2016-7853 和 CVE-2016-7854 之相關參照。

2016 年 11 月 10 日: 新增不慎在公告中遺漏的 CVE-2016-4095 之相關參照。