Cabecera-v2-web.jpg

Actualizaciones de seguridad para Adobe Acrobat, Reader, Flash Player y ColdFusion


Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 92 vulnerabilidades en Adobe Reader y Acrobat, tres en ColFusion y 25 en Flash (incluyendo una vulnerabilidad 0day). Un total de 120 vulnerabilidades corregidas.


Adobe Reader y Acrobat

Para Adobe Reader y Acrobat (boletí­n APSB16-14) se han solucionado 92 vulnerabilidades que afectan a las versiones 15.010.20060 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30121 (y anteriores) de de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.15 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona 29 vulnerabilidades de uso después de liberar memoria, dos desbordamientos de búfer, 46 problemas de corrupción de memoria, un desbordamiento de entero y otra vulnerabilidad en la ruta de búsqueda de directorio utilizada para encontrar recursos; todos ellos podrí­an permitir la ejecución de código. También se resuelven dos vulnerabilidades de fuga de información, otra que podrí­a permitir la divulgación de información y varios métodos para evitar restricciones de ejecución en la API javascript.

Los CVE asociados son: CVE-2016-1037 al CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, al CVE-2016-1095, CVE-2016-1112, CVE-2016-1116 al CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090 al CVE-2016-4094 y CVE-2016-4096 al CVE-2016-4107.

Adobe ha publicado las versiones 11.0.16 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.016.20039 y Acrobat DC y Reader DC Classic 15.006.30172; las cuales solucionan los fallos descritos.

Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.


Flash Player

Para Adobe Flash Player se ha publicado el boletí­n APSB16-15, destinado a solucionar otras 25 vulnerabilidades, entre las que se incluye un 0day que se está explotando en la actualidad de forma activa. Todos los problemas podrí­an permitir a un atacante tomar el control de los sistemas afectados.

Todo parece indicar que con objeto de incluir la solución a una vulnerabilidad 0-day (CVE-2016-4117) debida a una confusión de tipos, Adobe se vio obligada a retrasar la publicación de su habitual boletí­n mensual para Flash.

Todos los problemas que se corrigen en este boletí­n podrí­an permitir la ejecución de código arbitrario aprovechando ocho vulnerabilidades de uso de memoria después de liberarla, dos de confusión de tipos, dos desbordamientos de búfer, 12 de corrupción de memoria y una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos.

Los CVE asignados son: CVE-2016-1096 al CVE-2016-1110 y CVE-2016-4108 al CVE-2016-4117.

De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicó el boletí­n MS16-064, para reflejar estas actualizaciones de Adobe Flash (excepto el 0-day).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 21.0.0.242
  • Flash Player Extended Support Release 18.0.0.352
  • Flash Player para Linux 11.2.202.616

Igualmente se ha publicado la versión 21.0.0.242 de Flash Player para navegadores Internet Explorer, Edge y Chrome. Así­ como la versión 21.0.0.215 de AIR.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
http://helpx.adobe.com/flash-player/kb/archived-fl....
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash


ColdFusion

En el boletí­n de seguridad APSB16-16 de Adobe, se recoge una actualización para ColdFusion versiones 2016, 11 y 10. Este parche está destinado a corregir una vulnerabilidad importante relacionada con un error en la validación de entradas (CVE-2015-1113) que podrí­a emplearse para realizar ataques de cross-site scripting. También se soluciona otro problema en la verificación del nombre de host certificados comodí­n (CVE-2016-1115) y se incluye una versión actualizada de la librerí­a Apache Commons Collections para mitigar una deserialización en Java (CVE-2016-1114).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion (2016):
http://helpx.adobe.com/coldfusion/kb/coldfusion-20...

ColdFusion 11:
http://helpx.adobe.com/coldfusion/kb/coldfusion-11...

ColdFusion 10:
http://helpx.adobe.com/coldfusion/kb/coldfusion-10...


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11