Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Por Deja un comentario

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex.
Flash Player
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.134 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.277 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.451 (y anteriores) para Linux.
Esta actualización, publicada bajo el boletín APSB15-06, resuelve un total de 22 vulnerabilidades, para una de las cuales (CVE-2015-3043) Adobe reconoce la existencia de un exploit público en la actualidad.
La mayoría de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario, incluyendo un desbordamiento de búfer, 11 errores de corrupción de memoria, un error de confusión de tipos, cuatro vulnerabilidades de uso después de liberar y una de doble liberación. También se solucionan dos vulnerabilidades de fuga de memoria que podrían permitir evitar la protección ASLR y por último un salto de medidas de seguridad podría permitir la obtención de información sensible.
Los CVE asociados comprenden del CVE-2015-0346 al CVE-2015-0360 y del CVE-2015-3038 al CVE-2015-3044.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 17.0.0.169
  • Flash Player Extended Support Release 13.0.0.281
  • Flash Player para Linux 11.2.202.457

Igualmente se ha publicado la versión 17.0.0.169 de Flash Player para Internet Explorer y Chrome.
ColdFusion
También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2015-0345).
Se recomienda a los usuarios actualicen sus productos con las actualizaciones proporcionadas por Adobe:
ColdFusion 11 (Update 5):
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-5.html
ColdFusion 10 (Update 16):
http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-16.html
Adobe Flex

Por último se ha identificado una vulnerabilidad importante (CVE-2015-1773) en la salida JavaScript de la herramienta ASDoc disponible en Adobe Flex 4 (y versiones anteriores). Este problema podría permitir a la realización de ataques de Cross-Site Scripting.

Adobe recomienda seguir los siguientes pasos:
  1 – Descargar el archivo index.html disponible desde
        http://s.apache.org/O1l
  2 – Aplicar modificaciones en el archivo index.html existente (p.ej. actualizar el título de la página)
  3 – Implementar los resultados en el sitio web
Mas información:
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flex/apsb15-08.html
Security Update: Hotfixes available for ColdFusion
https://helpx.adobe.com/security/products/coldfusion/apsb15-07.html
Security vulnerability in output of Adobe Flex ASdoc Tool
https://helpx.adobe.com/security/products/flex/apsb15-08.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.