Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe Reader y Acrobat.
Flash Player
- Para Adobe Flash Player se ha publicado el boletín APSB15-09 que soluciona 18 vulnerabilidades en total.
- Cuatro vulnerabilidades de corrupción de memoria (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093), una vulnerabilidad por uso después de liberar (CVE-2014-2080), un desbordamiento de búfer (CVE-2014-3088), un desbordamiento de entero (CVE-2014-3087) y tres vulnerabilidades de confusión de tipos (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086). Todas ellas podrían permitir la ejecución de código.
- Por otra parte, una condición de carrera por una vulnerabilidad de tiempo de Comprobación tiempo de uso (TOCTOU) que podría permitir evitar el Modo Protegido de Internet Explorer (CVE-2015-3081). Tres problemas de saltos de validación que podrían permitir escribir datos arbitrarios en el sistema de archivos bajo los permisos del usuario (CVE-2015-3082, CVE-2015-3083, CVE-2015-3085). Vulnerabilidades de pérdida de memoria que podrían permitir evitar la protección ASLR (CVE-2015-3091, CVE-2015-3092). Y por último, una vulnerabilidad de salto de medidas de seguridad que podría permitir la obtención de información sensible (CVE-2015-3079).
- Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 17.0.0.188
- Flash Player Extended Support Release 13.0.0.289
- Flash Player para Linux 11.2.202.460
Igualmente se ha
publicado la versión 17.0.0.188 de Flash Player para Internet Explorer y Google
Chrome. Y la versión 17.0.0.172 de AIR Desktop Runtime y el AIR SDK
Adobe Reader y
Acrobat
- Por otra parte, para Adobe Reader y Acrobat (boletín APSB15-10) se han solucionado 34 vulnerabilidades que afectan a las versiones X (10.1.13 y anteriores) y XI (11.0.10 y anteriores) para Windows y Macintosh.
- Esta actualización soluciona cinco vulnerabilidades de uso después de liberar memoria, dos desbordamientos de búfer, un desbordamiento de entero y 10 problemas de corrupción de memoria; todos podrían permitir la ejecución de código.
- También se resuelve una vulnerabilidad de fuga de memoria, varios métodos para evitar restricciones de ejecución en la API javascript y una denegación de servicio por desreferencia de puntero nulo. Por último, se proporciona protección adicional contra la vulnerabilidad CVE-2014-8452, de fuga de información por el tratamiento de entidades externas XML. Los CVE asociados son: CVE-2014-8452, CVE-2014-9160, CVE-2014-9161 y CVE-2015-3046 al CVE-2015-3076.
- Adobe ha publicado las versiones 11.0.11 y 10.1.14 de ambos productos, las cuales solucionan los fallos vulnerabilidad descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
- Security Updates available for Adobe Reader and Acrobat https://helpx.adobe.com/security/products/reader/apsb15-10.html
- Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/reader/apsb15-09.html