jueves, 13 de abril de 2017

Actualización para múltiples productos Adobe

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Campaign, Adobe Flash Player, Adobe Acrobat and Reader, Adobe Photoshop CC y Creative Cloud Desktop Application. En total se han solucionado 59 vulnerabilidades.

Adobe Reader y Acrobat

Sin duda la actualización más importante y que corrige más vulnerabilidades, es la dedicada Adobe Reader y Acrobat (boletín APSB17-11). Se han solucionado 47 vulnerabilidades que afectan a las versiones 15.023.20070 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30280 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.19 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona dos desbordamientos de entero, 21 problemas de corrupción de memoria, 6 vulnerabilidades de uso de memoria después de liberarla, 4 desbordamientos de búfer y dos vulnerabilidades en la ruta de búsqueda de directorio empleado para encontrar recursos; todos ellos podrían permitir la ejecución de código. También se resuelven otros 12 vulnerabilidades de corrupción de memoria que podrían permitir la obtención de direcciones de memoria. Los CVE asociados son del CVE-2017-3011 al CVE-2017-3015, CVE-2017-3017 al CVE-2017-3057 y CVE-2017-3065.

Adobe ha publicado las versiones 11.0.20 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 2017.009.20044 y Acrobat DC y Reader DC Classic 2015.006.30306; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Adobe Flash Player
 
No podía faltar el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-10, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y tres de corrupción de memoria. Los CVE asignados son: CVE-2017-3058 al CVE-2017-3064.

Adobe ha publicado la versión 25.0.0.148 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde

Adobe Campaign

Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad importante, que podría permitir la lectura, escritura o borrado de datos en la base de datos de Campaign por un salto de la validación de entradas (CVE-2017-2989).

Se recomienda actualizar a Adobe Campaign 6.11 Build 8795.

Adobe Photoshop CC

En el boletín de seguridad APSB17-12 de Adobe, se recoge una actualización para Adobe Photoshop CC 2017 (18.0.1 y anteriores) y Adobe Photoshop CC 2015.5 (17.0.1 (2015.5.1) y anteriores) para Windows y Macintosh.

Este parche está destinado a corregir una corrupción de memoria al tratar archivos PCX maliciosos (CVE-2017-3004) que podría permitir la ejecución de código. Y una vulnerabilidad por una ruta de búsqueda sin comillas en Photoshop en Windows (CVE-2017-3005).

Se recomienda a los usuarios actualicen sus productos a través de los mecanismos disponibles en cada aplicación (Help/Updates).

Creative Cloud Desktop Application

Por último, Adobe ha publicado una actualización de seguridad para Creative Cloud Desktop Application para Windows. Está destinada a resolver una vulnerabilidad importante relacionada con el uso de permisos inadecuados durante la instalación de aplicaciones de escritorio Creative Cloud (CVE-2017-3006). También soluciona una vulnerabilidad relacionada con la ruta del directorio de búsqueda empleada para encontrar recursos (CVE-2017-3007).

Más información:

APSB17-09 Security update available for Adobe Campaign

APSB17-10 Security updates available for Adobe Flash Player

APSB17-11 Security updates available for Adobe Acrobat and Reader 

APSB17-12 Security update available for Adobe Photoshop CC

APSB17-13 Security update available for the Creative Cloud Desktop Application



Antonio Ropero
Twitter: @aropero