24 de mayo de 2015

ADOBE. Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe Reader y Acrobat.
Flash Player

  • Para Adobe Flash Player se ha publicado el boletín APSB15-09 que soluciona 18 vulnerabilidades en total.
  • Cuatro vulnerabilidades de corrupción de memoria (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093), una vulnerabilidad por uso después de liberar (CVE-2014-2080), un desbordamiento de búfer (CVE-2014-3088), un desbordamiento de entero (CVE-2014-3087) y tres vulnerabilidades de confusión de tipos (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086). Todas ellas podrían permitir la ejecución de código.
  • Por otra parte, una condición de carrera por una vulnerabilidad de tiempo de Comprobación tiempo de uso (TOCTOU) que podría permitir evitar el Modo Protegido de Internet Explorer (CVE-2015-3081). Tres problemas de saltos de validación que podrían permitir escribir datos arbitrarios en el sistema de archivos bajo los permisos del usuario (CVE-2015-3082, CVE-2015-3083, CVE-2015-3085). Vulnerabilidades de pérdida de memoria que podrían permitir evitar la protección ASLR (CVE-2015-3091, CVE-2015-3092). Y por último, una vulnerabilidad de salto de medidas de seguridad que podría permitir la obtención de información sensible (CVE-2015-3079).
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  1. Flash Player Desktop Runtime 17.0.0.188
  2. Flash Player Extended Support Release 13.0.0.289
  3. Flash Player para Linux 11.2.202.460

 Igualmente se ha publicado la versión 17.0.0.188 de Flash Player para Internet Explorer y Google Chrome. Y la versión 17.0.0.172 de AIR Desktop Runtime y el AIR SDK
Adobe Reader y Acrobat
  • Por otra parte, para Adobe Reader y Acrobat (boletín APSB15-10) se han solucionado 34 vulnerabilidades que afectan a las versiones X (10.1.13 y anteriores) y XI (11.0.10 y anteriores) para Windows y Macintosh.
  • Esta actualización soluciona cinco vulnerabilidades de uso después de liberar memoria, dos desbordamientos de búfer, un desbordamiento de entero y 10 problemas de corrupción de memoria; todos podrían permitir la ejecución de código.
  • También se resuelve una vulnerabilidad de fuga de memoria, varios métodos para evitar restricciones de ejecución en la API javascript y una denegación de servicio por desreferencia de puntero nulo. Por último, se proporciona protección adicional contra la vulnerabilidad CVE-2014-8452, de fuga de información por el tratamiento de entidades externas XML. Los CVE asociados son: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161 y CVE-2015-3046 al CVE-2015-3076.
  • Adobe ha publicado las versiones 11.0.11 y 10.1.14 de ambos productos, las cuales solucionan los fallos vulnerabilidad descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
Más información:
Fuente: Hispasec