Adobe ha publicado actualizaciones para diversos
productos. En esta ocasión los productos afectados son Flash Player, Photoshop,
Connect y Experience Manager, en total se han solucionado 32 vulnerabilidades.
En el boletín de
seguridad APSB16-03 de Adobe, se recoge una actualización para Adobe Photoshop
CC 16.1.1 (2015.1.1 y anteriores) y Adobe Bridge CC (6.1.1 y anteriores) para
Windows y Macintosh. Este parche está destinado a corregir tres
vulnerabilidades relacionadas con corrupción de memoria (CVE-2016-0951,
CVE-2016-0952 y CVE-2016-0953) que podrían permitir la ejecución de código.
Se recomienda a los usuarios actualicen sus productos a través de los mecanismos disponibles en cada aplicación (Help/Updates).
En el boletín
APSB16-04 Adobe distribuye una nueva actualización para Adobe Flash Player, que
en esta ocasión soluciona 22 vulnerabilidades, todas ellas podrían permitir la
ejecución de código arbitrario y por tanto tomar el control de los sistemas
afectados.
De estas 22 vulnerabilidades, una es de confusión de tipos, seis por usar memoria previamente liberada, un desbordamiento de búfer y 14 por corrupción de memoria. Los CVEs asignados son del CVE-2016-0964 al CVE-2016-0985.
Adobe ha publicado
las siguientes versiones de Adobe Flash Player destinadas a solucionar las
vulnerabilidades, y se encuentran disponibles para su descarga desde la página
oficial:
- Flash Player Desktop Runtime 20.0.0.306
- Flash Player Extended Support Release 18.0.0.329
- Flash Player para Linux 11.2.202.569
Igualmente se ha publicado la versión 20.0.0.306 de Flash
Player para Internet Explorer, Edge y Chrome (Windows y Macintosh).
También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 20.0.0.260 (Windows, Macintosh, Android e iOS).
Las
actualizaciones se encuentran disponibles a través de los mecanismos a tal
efecto en los propios productos. Hay que destacar que esta actualización de
Flash Player también se encuentra incluida dentro de las actualizaciones
publicadas por Microsoft (en el boletín MS16-022).
También se ha publicado el boletín APSB16-05 que soluciona cuatro vulnerabilidades en Adobe Experience Manager versiones 6.1.0, 6.0.0 y 5.6.1 para Windows, Unix, Linux y OS X.
Se ha incluido un
agente de mitigación de fallos de deserialización en Java, y se soluciona una
vulnerabilidad de cross-site scripting, una divulgación de información que
afecta a Apache Sling Servlets Post 2.3.6 y Dispatcher 4.1.5 (y superiores)
resuelve una vulnerabilidad de salto de filtro de URL. Los CVEs son del
CVE-2016-0955 al CVE-2016-0958.
Por último, en el boletín APSB16-07 se recoge una actualización para Adobe Connect 9.4 que soluciona tres vulnerabilidades.
- Adobe Connect 9.5.2 incluye una característica de protección ante Cross-Site Request Forgery, también se resuelve una validación insuficiente de los parámetros en una URL y una vulnerabilidad que se podría emplear para falsear la información presentada en la interfaz de usuario (suplantación de contenido). Los CVE asignados son CVE-2016-0948 al CVE-2016-0950.
- Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.
- APSB16-07. Security updates available for Adobe Connect. https://helpx.adobe.com/content/help/en/security/products/connect/apsb16-07.html
- APSB16-05. Security updates available for Adobe Experience Manager. https://helpx.adobe.com/content/help/en/security/products/experience-manager/apsb16-05.html
- APSB16-04. Security updates available for Adobe Flash Player. https://helpx.adobe.com/content/help/en/security/products/flash-player/apsb16-04.html
- APSB16-03. Security updates available for Adobe Photoshop CC and Bridge CC. https://helpx.adobe.com/content/help/en/security/products/photoshop/apsb16-03.html