8 de enero de 2017

ADOBE. Actualización para múltiples de sus productos, incluido Flash

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Animate, Adobe Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day en Flash Player.
Adobe Flash Player
Sin duda la actualización más importante es la de Adobe Flash Player. Para el que se ha publicado el boletín APSB16-39, destinado a solucionar 17 vulnerabilidades, entre las que se incluye un 0day. Todos los problemas, excepto uno, podrían permitir a un atacante tomar el control de los sistemas afectados.
Adobe reconoce que existe un exploit para una vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892, que se está utilizando en la actualidad de forma activa en ataques dirigidos contra usuarios con Internet Explorer (32-bit) en Windows.
Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando siete vulnerabilidades de uso de memoria después de liberarla, cuatro desbordamientos de búfer y cinco de corrupción de memoria. Otra vulnerabilidad podría permitir evitar características de seguridad.
Los CVE asignados son: CVE-2016-7867 al CVE-2016-7881, CVE-2016-7890 y CVE-2016-7892.
De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicó el boletín MS16-154, para reflejar estas actualizaciones de Adobe Flash.
Adobe ha publicado la versión 24.0.0.186 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Adobe Animate
En el boletín APSB16-38 se trata una vulnerabilidad de corrupción de memoria en Adobe Animate (CVE-2016-7866) para Windows o Macintosh.
Adobe Experience Manager
Adobe ha publicado actualizaciones para Adobe Experience Manager para resolver cuatro vulnerabilidades consideradas importantes. Tres cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site Request Forgery (CVE-2016-7885).
Se han publicado actualizaciones para las versiones 6.0, 6.1 y 6.2:
Adobe Experience Manager Forms
Adobe ha publicado el boletín APSB16-40 en el que informa de las actualizaciones para para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle.
  • Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.
Las actualizaciones resuelven dos vulnerabilidades importantes de validación de entradas que podrían permitir la construcción de ataques de cross-site scripting (CVE-2016-6933 y CVE-2016-6934).
Se han publicado las siguientes actualizaciones:
Para Adobe Experience Manager Forms 6.2
Para Adobe Experience Manager Forms 6.1
Para Adobe Experience Manager Forms 6.0
Para LiveCycle 11.0.1
Para LiveCycle 10.0.4
Adobe DNG Converter
Adobe ha publicado una actualización de seguridad para Adobe DNG Converter para Windows y Macintosh, que resuelve una vulnerabilidad de corrupción de memoria considera crítica (CVE-2016-7856)
Se recomienda actualizar a Adobe DNG Converter 9.8 desde:
InDesign
En el boletín APSB16-43 Adobe publica actualizaciones para resolver una vulnerabilidad (CVE-2016-7886) de corrupción de memoria, considerada crítica, en InDesign para Windows y Macintosh.
  • Se recomienda actualizar a la versión 12.0.0 de InDesign e InDesign Server.
ColdFusion Builder
También ha publicado actualizaciones (APSB16-44) para resolver una vulnerabilidad importante en Adobe ColdFusion Builder para Windows, Linux y Macintosh. El problema podría permitir la obtención de información sensible (CVE-2016-7887).
 Se recomienda actualizar a las versiones:
ColdFusion Builder 2016 Update 3
ColdFusion Builder 3.0 3.0.3 Hotfix
Adobe Digital Editions
También se han solucionado dos vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh y Android; un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks. (APSB16-45)
Se ha solucionado una vulnerabilidad que podría permitir la fuga de direcciones de memoria (CVE-2016-7888) y otro problema de fuga de información asociado con el tratamiento de entidades XML modificadas (CVE-2016-7889).
Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.3 desde:
Para Windows y Macintosh:
Para Android:
RoboHelp
Por último, el boletín APSB16-46 trata una actualización para solucionar una vulnerabilidad de cross-site scripting en RoboHelp para Windows (CVE-2016-7891).
Se recomienda actualizar a las versiones:
RoboHelp 2015.0.4
RoboHelp 11 (Hotfix)
Nota técnica:
Más información:
Fuente: Hispasec