19 de abril de 2015

ADOBE. Actualizaciones de seguridad para Flash Player, ColdFusion y Flex

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex.
FLASH PLAYER
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.134 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.277 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.451 (y anteriores) para Linux.
  • Esta actualización, publicada bajo el boletín APSB15-06, resuelve un total de 22 vulnerabilidades, para una de las cuales (CVE-2015-3043) Adobe reconoce la existencia de un exploit público en la actualidad.
  • La mayoría de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario, incluyendo un desbordamiento de búfer, 11 errores de corrupción de memoria, un error de confusión de tipos, cuatro vulnerabilidades de uso después de liberar y una de doble liberación. También se solucionan dos vulnerabilidades de fuga de memoria que podrían permitir evitar la protección ASLR y por último un salto de medidas de seguridad podría permitir la obtención de información sensible.
  • Los CVE asociados comprenden del CVE-2015-0346 al CVE-2015-0360 y del CVE-2015-3038 al CVE-2015-3044.
 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 17.0.0.169
  2. Flash Player Extended Support Release 13.0.0.281
  3. Flash Player para Linux 11.2.202.457
  4. Igualmente se ha publicado la versión 17.0.0.169 de Flash Player para Internet Explorer y Chrome.
COLDFUSION
  • También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de validación de entradas que podría emplearse para realziar ataques de cross-site scripting (CVE-2015-0345).
 Se recomienda a los usuarios actualicen sus productos con las actualizaciones proporcionadas por Adobe:
  1. ColdFusion 11 (Update 5): http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-5.html
  2. ColdFusion 10 (Update 16):http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-16.html
ADOBE FLEX
  • Por último se ha identificado una vulnerabilidad importante (CVE-2015-1773) en la salida JavaScript de la herramienta ASDoc disponible en Adobe Flex 4 (y versiones anteriores). Este problema podría permitir a la realización de ataques de Cross-Site Scripting.
Adobe recomienda seguir los siguientes pasos:
  1. Descargar el archivo index.html disponible desde http://s.apache.org/O1l
  2. Aplicar modificaciones en el archivo index.html existente (p.ej. actualizar el título de la página)
  3. Implementar los resultados en el sitio web
Mas información:
Fuente: Hispasec