Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 50 vulnerabilidades en Flash Player, Adobe Reader y Acrobat.
Flash Player
- Para Adobe Flash Player se ha publicado el boletín APSB15-18 (https://helpx.adobe.com/security/products/flash-player/apsb15-18.html) destinado a solucionar las dos vulnerabilidades 0day relacionadas con el hacking Team.
- Los 0day anunciados se identifican con los CVE-2015-5122 y CVE-2015-5123. Ambas están relacionadas con vulnerabilidades en la función ValueOf, en el primer caso a través de los métodos "TextBlock.createTextLine()" y
- "TextBlock.recreateTextLine(textLine)", mientras que el segundo caso afecta a un objeto "BitmapData". En ambos casos se han encontrado pruebas de concepto que muestran los efectos de los fallos.
- Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 18.0.0.209
- Flash Player Extended Support Release 13.0.0.305
- Igualmente se ha publicado la versión 18.0.0.209 de Flash Player para Internet Explorer y Google Chrome.
- Por otra parte, para Adobe Reader y Acrobat publicó el boletín APSB15-15 (https://helpx.adobe.com/security/products/reader/apsb15-15.html), que ha solucionado 46 vulnerabilidades que afectan a las versiones X (10.1.14 y anteriores) y XI (11.0.11 y anteriores) para Windows y Macintosh. También afecta a Acrobat DC y Acrobat Reader DC.
- Esta actualización soluciona siete vulnerabilidades de uso después de liberar memoria, cinco desbordamientos de búfer, tres desbordamientos de entero y nueve problemas de corrupción de memoria; todos ellos podrían permitir la ejecución de código.
- También se resuelve una vulnerabilidad de fuga de información, vulnerabilidades de salto de seguridad que podrían permitir la divulgación de información, saltos de validación que podrían permitir la elevación de privilegios o denegaciones de servicio, varios métodos para evitar restricciones de ejecución en la API javascript y dos denegaciones de servicio por referencia de puntero nulo.
- Los CVE asociados son: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445 al CVE-2015-4452 y CVE-2015-5085 al CVE-2015-5115
- Adobe ha publicado las versiones 11.0.12 y 10.1.15 de Acrobat X y XI, Acrobat DC y Reader DC 2015.008.20082 y Acrobat DC y Reader DC 2015.006.30060; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
- Adobe para Shockwave Player ha publicado el boletín de seguridad APSB14-17 (https://helpx.adobe.com/security/products/shockwave/apsb15-17.html) que soluciona dos vulnerabilidades críticas .
- Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.
- Las vulnerabilidades (con CVE-2015-5120 y CVE-2015-5121) están relacionadas problemas de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.1.8.158 (y anteriores) para plataformas Windows y Macintosh.
- Adobe recomienda actualizar a la versión 12.1.9.159 de Shockwave Player, disponible desde: http://get.adobe.com/shockwave/
- Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-18.html
- CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak https://www.fireeye.com/blog/threat-research/2015/07/cve-2015-5122_-_seco.html
- Another Zero-Day Vulnerability Arises from Hacking Team Data Leak http://blog.trendmicro.com/trendlabs-security-intelligence/another-zero-day-vulnerability-arises-from-hacking-team-data-leak/
- New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak http://blog.trendmicro.com/trendlabs-security-intelligence/new-zero-day-vulnerability-cve-2015-5123-in-adobe-flash-emerges-from-hacking-team-leak/
- Security Updates Available for Adobe Acrobat and Reader https://helpx.adobe.com/security/products/reader/apsb15-15.html
- Security update available for Adobe Shockwave Player https://helpx.adobe.com/security/products/shockwave/apsb15-17.html
