Adobe ha publicado una actualización para nueve de sus
productos. En esta ocasión los productos afectados son Adobe Animate, Adobe
Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe
Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y
RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day en
Flash Player.
Adobe Flash Player
Sin duda la actualización más importante es la de Adobe
Flash Player. Para el que se ha publicado el boletín APSB16-39, destinado a
solucionar 17 vulnerabilidades, entre las que se incluye un 0day. Todos los
problemas, excepto uno, podrían permitir a un atacante tomar el control de los
sistemas afectados.
Adobe reconoce que existe un exploit para una
vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892, que
se está utilizando en la actualidad de forma activa en ataques dirigidos contra
usuarios con Internet Explorer (32-bit) en Windows.
Los problemas que se corrigen en este boletín podrían
permitir la ejecución de código arbitrario aprovechando siete vulnerabilidades
de uso de memoria después de liberarla, cuatro desbordamientos de búfer y cinco
de corrupción de memoria. Otra vulnerabilidad podría permitir evitar
características de seguridad.
Los CVE asignados son: CVE-2016-7867 al CVE-2016-7881,
CVE-2016-7890 y CVE-2016-7892.
De igual forma, como viene siendo habitual en los últimos
meses, Microsoft también publicó el boletín MS16-154, para reflejar estas
actualizaciones de Adobe Flash.
Adobe ha publicado la versión 24.0.0.186 de Flash Player
Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer,
Edge y Chrome destinada a solucionar las vulnerabilidades.
Adobe recomienda a los usuarios de Adobe Flash Player
Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema
de actualización del propio producto o desde
En el boletín APSB16-38 se trata una vulnerabilidad de
corrupción de memoria en Adobe Animate (CVE-2016-7866) para Windows o
Macintosh.
- Se recomienda actualizar a Adobe Animate 16.0.0.112 disponible desde https://creative.adobe.com/products/download/animate
Adobe ha publicado actualizaciones para Adobe Experience
Manager para resolver cuatro vulnerabilidades consideradas importantes. Tres
cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site Request
Forgery (CVE-2016-7885).
Se han publicado actualizaciones para las versiones 6.0,
6.1 y 6.2:
- Adobe Experience Manager 6.0 https://helpx.adobe.com/experience-manager/kb/aem6-available-hotfixes.html
- Adobe Experience Manager 6.1 https://helpx.adobe.com/experience-manager/kb/aem61-available-hotfixes.html
- Adobe Experience Manager 6.2 https://helpx.adobe.com/experience-manager/kb/aem62-available-hotfixes.html
Adobe ha publicado el boletín APSB16-40 en el que informa
de las actualizaciones para para Adobe Experience Manager (AEM) Forms en
Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle.
- Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.
Se han publicado las siguientes actualizaciones:
Para Adobe Experience Manager Forms 6.2
- https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/cor-1064-012.html
- https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/prm-1065-020.html
- https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/cor-1042-015.html
- https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/prm-1043-020.html
- https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/cor-1155-044.html
- https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/prm-1161-017.html
- https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/cor-1064-025.html
- https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/prm-1065-007.html
Adobe ha publicado una actualización de seguridad para
Adobe DNG Converter para Windows y Macintosh, que resuelve una vulnerabilidad
de corrupción de memoria considera crítica (CVE-2016-7856)
Se recomienda actualizar a Adobe DNG Converter 9.8 desde:
- Para Windows: https://www.adobe.com/support/downloads/detail.jsp?ftpID=6108
- Para Macintosh: https://www.adobe.com/support/downloads/detail.jsp?ftpID=6107
En el boletín APSB16-43 Adobe publica actualizaciones
para resolver una vulnerabilidad (CVE-2016-7886) de corrupción de memoria,
considerada crítica, en InDesign para Windows y Macintosh.
- Se recomienda actualizar a la versión 12.0.0 de InDesign e InDesign Server.
También ha publicado actualizaciones (APSB16-44) para
resolver una vulnerabilidad importante en Adobe ColdFusion Builder para
Windows, Linux y Macintosh. El problema podría permitir la obtención de
información sensible (CVE-2016-7887).
Se recomienda
actualizar a las versiones:
ColdFusion Builder 2016 Update 3
- Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-2016-update-3.html
- Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-3-update.html
También se han solucionado dos vulnerabilidades en Adobe
Digital Editions (ADE) para Windows, Macintosh y Android; un software gratuito
que permite la descarga y lectura de eBooks en formato EPUB y PDF en el
ordenador, así como transferirlos a lectores de eBooks. (APSB16-45)
Se ha solucionado una vulnerabilidad que podría permitir
la fuga de direcciones de memoria (CVE-2016-7888) y otro problema de fuga de
información asociado con el tratamiento de entidades XML modificadas
(CVE-2016-7889).
Adobe recomienda a los usuarios actualizar los productos
afectados a la versión 4.5.3 desde:
Para Windows y Macintosh:
Por último, el boletín APSB16-46 trata una actualización
para solucionar una vulnerabilidad de cross-site scripting en RoboHelp para
Windows (CVE-2016-7891).
Se recomienda actualizar a las versiones:
RoboHelp 2015.0.4
Nota técnica:
- APSB16-38: Security update available for Adobe Animate https://helpx.adobe.com/security/products/animate/apsb16-38.html
- APSB16-39: Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
- APSB16-40: Security updates available for Adobe Experience Manager Forms https://helpx.adobe.com/security/products/aem-forms/apsb16-40.html
- APSB16-41: Security update available for the Adobe DNG Converter https://helpx.adobe.com/security/products/dng-converter/apsb16-41.html
- APSB16-42: Security updates available for Adobe Experience Manager https://helpx.adobe.com/security/products/experience-manager/apsb16-42.html
- APSB16-43: Security updates available for InDesign https://helpx.adobe.com/security/products/indesign/apsb16-43.html
- APSB16-44: Security update available for ColdFusion Builder https://helpx.adobe.com/security/products/coldfusion/apsb16-44.html
- APSB16-45: Security update available for Adobe Digital Editions https://helpx.adobe.com/security/products/Digital-Editions/apsb16-45.html
- APSB16-46: Security update available for RoboHelp https://helpx.adobe.com/security/products/robohelp/apsb16-46.html