sábado, 18 de julio de 2015

Actualizaciones de seguridad para Adobe Reader, Acrobat, Shockwave y Flash Player

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 50 vulnerabilidades en Flash Player, Shockwave, Adobe Reader y Acrobat. 

Flash Player

Para Adobe Flash Player se ha publicado el boletín APSB15-18 destinado a solucionar las dos vulnerabilidades 0day relacionadas con el hacking Team.

Los 0day anunciados se identifican con los CVE-2015-5122 y CVE-2015-5123. Ambas están relacionadas con vulnerabilidades en la función ValueOf, en el primer caso a través de los métodos "TextBlock.createTextLine()" y 
"TextBlock.recreateTextLine(textLine)", mientras que el segundo caso afecta a un objeto "BitmapData". En ambos casos se han encontrado pruebas de concepto que muestran los efectos de los fallos.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 18.0.0.209
  • Flash Player Extended Support Release 13.0.0.305

Igualmente se ha publicado la versión 18.0.0.209 de Flash Player para Internet Explorer y Google Chrome.

Adobe Reader y Acrobat

Por otra parte, para Adobe Reader y Acrobat (boletín APSB15-15) se han solucionado 46 vulnerabilidades que afectan a las versiones X (10.1.14 y anteriores) y XI (11.0.11 y anteriores) para Windows y Macintosh. También afecta a Acrobat DC y Acrobat Reader DC.

Esta actualización soluciona siete vulnerabilidades de uso después de liberar memoria, cinco desbordamientos de búfer, tres desbordamientos de entero y nueve problemas de corrupción de memoria; todos ellos podrían permitir la ejecución de código.

También se resuelve una vulnerabilidad de fuga de información, vulnerabilidades de salto de seguridad que podrían permitir la divulgación de información, saltos de validación que podrían permitir la elevación de privilegios o denegaciones de servicio, varios métodos para evitar restricciones de ejecución en la API javascript y dos denegaciones de servicio por referencia de puntero nulo.

Los CVE asociados son: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445 al CVE-2015-4452 y CVE-2015-5085 al CVE-2015-5115

Adobe ha publicado las versiones 11.0.12 y 10.1.15 de Acrobat X y XI, Acrobat DC y Reader DC 2015.008.20082 y Acrobat DC y Reader DC 2015.006.30060; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
 
Adobe Shockwave Player

Adobe ha publicado un nuevo boletín de seguridad (APSB14-17) para solucionar dos vulnerabilidades críticas en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

Las vulnerabilidades (con CVE-2015-5120 y CVE-2015-5121) están relacionadas problemas de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.1.8.158 (y anteriores) para plataformas Windows y Macintosh.

Adobe recomienda actualizar a la versión 12.1.9.159 de Shockwave Player, disponible desde:

Más información:

Security updates available for Adobe Flash Player

una-al-dia (13/07/2015) Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak

Another Zero-Day Vulnerability Arises from Hacking Team Data Leak

New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos

Security Updates Available for Adobe Acrobat and Reader

Security update available for Adobe Shockwave Player



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada