Adobe
ha publicado tres boletines de seguridad para anunciar las actualizaciones
necesarias para solucionar un total de 27 vulnerabilidades en Flash Player,
Adobe Reader, Acrobat y ColdFusión.
Flash
Player
· Para
Adobe Flash Player (boletín APSB14-27) que soluciona dos vulnerabilidades de
corrupción de memoria (CVE-2014-0587, CVE-2014-9164), una vulnerabilidad por
uso después de liberar (CVE-2014-8443) y un desbordamiento de búfer
(CVE-2014-9163) que podrían permitir la ejecución de código. Una vulnerabilidad
de divulgación de información (CVE-2014-9162) y otro problema que podría
permitir evadir la política de mismo origen (CVE-2014-0580).
· Adobe
ha publicado las siguientes versiones de Adobe Flash Player destinadas a
solucionar las vulnerabilidades, y se encuentran disponibles para su descarga
desde la página oficial:
1) Flash
Player Desktop Runtime 16.0.0.235
2) Flash
Player Extended Support Release 13.0.0.259
3)
Flash
Player para Linux 11.2.202.425
4)
Igualmente
se ha publicado la versión 16.0.0.235 de Flash Player para Internet Explorer y
Google Chrome.
Adobe
Reader y Acrobat
·
Por
otra parte, para Adobe Reader y Acrobat (boletín APSB14-28) se han solucionado
20 vulnerabilidades que afectan a las versiones X (10.1.12 y anteriores) y XI
(11.0.09 y anteriores) para Windows y Macintosh.
·
Esta
actualización soluciona tres vulnerabilidades de uso después de liberar
memoria, tres desbordamientos de búfer, un desbordamiento de entero y ocho
problemas de corrupción de memoria que podrían permitir la ejecución de código.
·
Por
otra parte una condición de carrera TOCTOY (time-of-check time-of-use) podría
permitir acceso de escritura en el sistema de archivos; así como dos fallos por
la implementación inadecuada de una API Javascript y una vulnerabilidad en el
tratamiento de entidades externas XML que podrían facilitar la obtención de
información sensible. Por último, una vulnerabilidad que podría permitir evadir
la política de mismo origen.
·
Adobe
ha publicado las versiones 11.0.10 y 10.1.13 de ambos productos, las cuales
solucionan los fallos vulnerabilidad descritos. Se encuentran disponibles para
su descarga desde la página oficial, y a través del sistema de actualizaciones
cuya configuración por defecto es la realización de actualizaciones automáticas
periódicas.
ColdFusion
- También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de consumo de recursos que podría llegar a provocar una denegación de servicio (CVE-2014-9166). ColdFusion 9.x no se ve afectado por esta incidencia.
- Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
1) ColdFusion
11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-3.html
2) ColdFusion
10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-15.html
Mas información:
·
Security Updates available for Adobe Reader and
Acrobat http://helpx.adobe.com/security/products/reader/apsb14-28.html
·
Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-27.html
·
Security Update: Hotfixes available for
ColdFusion http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html
Fuente:
Hispasec