Adobe ha publicado tres boletines de seguridadpara anunciar las actualizaciones necesarias para solucionar una vulnerabilidad en XMP Toolkit para Java, 52 en Flash Player y 30 en Adobe Reader y Acrobat. Un total de 83 vulnerabilidades corregidas.
Flash Player
Para Adobe Flash Player se ha publicado el boletín APSB16-25que soluciona 52 vulnerabilidades en total.
Los problemas incluyen 33 vulnerabilidades de corrupción de memoria, un desbordamiento de búfer, 10 vulnerabilidades por uso de memoria después de liberarla y dos de corrupción de la pila y tres vulnerabilidades de confusión de tipos. Todas ellas podrían permitir la ejecución de código.
Por otra parte, una condición de carrera y un salto de medidas de seguridad que podrían permitir la obtención de información sensible. Así como una fuga de memoria. Los CVE asignados son CVE-2016-4172 al CVE-2016-4190 y CVE-2016-4217 al CVE-2016-4249.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 22.0.0.209
- Flash Player Extended Support Release 18.0.0.366
- Flash Player para Linux 11.2.202.632
Igualmente se ha publicado la versión 22.0.0.209 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
Para actualizar Adobe Flash Player para Linux:
Adobe Reader y Acrobat
Para Adobe Reader y Acrobat (boletín APSB16-26) se han solucionado 30 vulnerabilidadesque afectan a las versiones 15.016.20045 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30174 (y anteriores) de de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.16 (y anteriores) para Windows y Macintosh.
Esta actualización soluciona un desbordamiento de entero, 26 problemas de corrupción de memoria, una vulnerabilidad de uso de memoria después de liberarla y un desbordamiento de búfer; todos ellos podrían permitir la ejecución de código. También se resuelven varios métodos para evitar restricciones de ejecución en la API Javascript.
Los CVE asociados son: CVE-2016-4191 al CVE-2016-4215, CVE-2016-4250 al CVE-2016-4252, CVE-2016-4254 y CVE-2016-4255.
Adobe ha publicado las versiones 11.0.17 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.017.20050 y Acrobat DC y Reader DC Classic 15.006.30198; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
Adobe XMP Toolkit for Java
Adobe ha publicado una actualización de seguridad para Adobe XMP Toolkit for Java (boletín APSB16-24), destinada a solucionar una vulnerabilidad importante que podría permitir la obtención de información sensible.
Extensible Metadata Platform (XMP) de Adobe es una tecnología de etiquetado que permite incluir datos del archivo en el propio archivo (los conocidos metadatos). XMP Toolkit para Java está basada en la librería C++ XMPCore y la API es similar.
El problema reside en el análisis de entidades externas en un XML en XMPCore que podrían permitir a un atacante obtener información sensible (CVE-2016-4216). Afecta a Adobe XMP Tooklit para Java 5.1.2 (y anteriores)
Adobe ha publicado Adobe XMP Toolkit para Java 5.1.3 disponible desde:
Más información:
Security Updates available for Adobe Reader and Acrobat
Security updates available for Adobe Flash Player
Security update available for Adobe XMP Toolkit for Java
Antonio Ropero
Twitter: @aropero
Deja una respuesta