El boletín APSB17-21, dedicado a Adobe Flash Player, soluciona una vulnerabilidad crítica y dos importantes. Son las siguientes:
- CVE-2017-3080: un error que podría permitir la revelación de información sensible.
- CVE-2017-3099: una ejecución de código remota, descubierta por Jihui Lu de Tencent KeenLab.
- CVE-2017-3100: revelación de direcciones de memoria, descubierta por bo13oy en colaboración con Zero Day Initiative de Trend Micro.
Se encuentran afectadas las versiones 26.0.0.131 y anteriores para Windows, Macintosh, Linux y el navegador Chrome, y las versiones 26.0.0.120 y anteriores para los navegadores Edge e Internet Explorer 11.
Adobe ha publicado la versión 26.0.0.137 de Flash Player Desktop Runtime, que soluciona estos problemas de seguridad para los sistemas y versiones afectados.
Por la parte Adobe Connect, el boletín de seguridad APSB17-22 soluciona dos vulnerabilidades importantes y una moderada.
- CVE-2017-3101: un error en la interfaz de usuario que podría permitir ataques 'clickjacking'. Descubierto por Anas Roubi.
- CVE-2017-3102 y CVE-2017-3103: errores relacionados con la validación de entradas durante la generación de una página web podrían permitir ataques 'Cross-site scripting'. Han sido descubiertos por Adam Willard de Raytheon Foreground Security y Alexis Laborier, respectivamente.
La versión de Adobe Connect 9.6.2 soluciona estos problemas de seguridad.
Más información:
Security updates available for Flash Player | APSB17-21
https://helpx.adobe.com/
Security updates available for Adobe Connect | APSB17-22
https://helpx.adobe.com/
Juan José Ruiz
