Бюллетень безопасности Adobe

Дата выпуска: 7 июля 2016 г.

Последнее обновление: 12 сентября 2016 г.

Идентификатор уязвимости: APSB16-26

Приоритет:  уровень 2

Номера CVE: CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938

Платформа: Windows и Macintosh

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и Macintosh. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC. При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.

Новейшие версии продуктов пользователи могут получить одним из следующих способов:

• Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений. 
• При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей. 
• Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.
  

Для ИТ-администраторов (в управляемых средах):

• Загрузите установщики для предприятий с ftp://ftp.adobe.com/pub/adobe/ или воспользуйтесь ссылками на установщики в примечаниях к соответствующей версии. 
• Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или удаленного рабочего стола Apple и SSH в Macintosh.
  

Adobe классифицирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до более новых версий.

• В этих обновлениях исправлена проблема целочисленного переполнения, которая могла привести к выполнению кода (CVE-2016-4210).
• В этих обновлениях устранена уязвимость защиты доступа к освобожденной памяти, которая могла привести к выполнению кода (CVE-2016-4255, CVE-2016-6938).
• В этих обновлениях устранена уязвимость, связанная с переполнением буфера хипа, которая могла привести к выполнению кода (CVE-2016-4209).
• В этих обновлениях учтены разные способы обхода ограничений выполнения интерфейса API Javascript (CVE-2016-4215).
• В этих обновлениях устранены уязвимости, связанные с повреждением памяти, которые могли привести к выполнению кода (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).
  

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

• Яанус Кяяп (Jaanus Kääp) из компании Clarified Security, Кэ Лю (Ke Liu) из Xuanwu LAB компании Tencent и Себастьен Морин (Sébastien Morin) из компании COSIG (CVE-2016-4201)
• Кай Лу (Kai Lu) из FortiGuard Labs компании Fortinet, Яанус Кяяп (Jaanus Kääp) из компании Clarified Security, Кэ Лю (Ke Liu) из Xuanwu LAB компании Tencent и Себастьен Морин (Sébastien Morin) из компании COSIG (CVE-2016-4203)
• Себастьен Морин (Sébastien Morin) из компании COSIG и Кэ Лю (Ke Liu) из Xuanwu LAB компании Tencent (CVE-2016-4208)
• Яанус Кяяп (Jaanus Kääp) из компании Clarified Security (CVE-2016-4252)
• Вэй Лэй Сунь Чжихао (Wei Lei Sun Zhihao) и Лю Ян (Liu Yang) из Наньянского технологического университета, принимающие участие в программе Zero Day Initiative компании Trend Micro (CVE-2016-4198)
• Алекс Инфюр (Alex Inführ) и Масато Кинугава (Masato Kinugawa) из компании Cure53 (CVE-2016-4215)
• Кэ Лю (Ke Liu) из Xuanwu LAB компании Tencent (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
• Абдул-Азиз Харири (AbdulAziz Hariri), принимающий участие в программе Zero Day Initiative компании Trend Micro (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
• Себастьен Морин (Sébastien Morin) из компании COSIG (CVE-2016-4206, CVE-2016-4207)
• пользователь kdot, Trend Micro Zero Day Initiative (CVE-2016-4191, CVE-2016-4268, CVE-2016-4270)
• Станко Янкович (Stanko Jankovic) (CVE-2016-4192)
• Яанус Кейпи (Jaanus Kp) из компании Clarified Security, принимающий участие в программе Zero Day Initiative компании Trend Micro (CVE-2016-4255, CVE-2016-4251)
• Себастьен Морин (Sébastien Morin) и Пьер-Люк Мальте (Pier-Luc Maltais) из компании COSIG (CVE-2016-4204, CVE-2016-4205)
  
• Стивен Сили, Source Incite, участник программы Trend Micro Zero Day Initiative (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938)

12 июля 2016 г.: CVE-2016-4189 и CVE-2016-4190 заменены на CVE-2016-4254 и CVE-2016-4255 соответственно. 

23 августа 2016 г.: добавлены ссылки на проблемы CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 и CVE-2016-4270, которые случайно были исключены из бюллетеня.

12 сентября 2016 г.: добавлены ссылки на проблемы CVE-2016-6937 и CVE-2016-6938, которые случайно были исключены из бюллетеня.