De Hispasec – Una al Día: Actualizaciones de seguridad para Adobe Flash Player, Acrobat, Reader y Creative Cloud Desktop Application (12/10/2016)

Actualizaciones de seguridad para Adobe Flash Player, Acrobat, Reader y Creative Cloud Desktop Application

miércoles, 12 de octubre de 2016

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 12 vulnerabilidades en Flash Player, 71 en Adobe Acrobat y Reader y una en Creative Cloud Desktop Application.

Flash Player

flash_playerEl ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-32 que soluciona 12 vulnerabilidades. Los problemas incluyen ocho vulnerabilidades de corrupción de memoria, una de confusión de tipos y dos por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Por otra parte, otro problema de salto de medidas de seguridad. Los CVE asignados son CVE-2016-4273, CVE-2016-4286, CVE-2016-6981 al CVE-2016-6987, CVE-2016-6989, CVE-2016-6990 y CVE-2016-6992.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 23.0.0.185
  • Flash Player Extended Support Release 18.0.0.382
  • Flash Player para Linux 11.2.202.637

Igualmente se ha publicado la versión 23.0.0.185 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde

http://www.adobe.com/go/getflash

Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:

http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.

Para actualizar Adobe Flash Player para Linux:

http://www.adobe.com/go/getflash

Adobe Reader y Acrobat

Adobe_ReaderCompartiendo protagonismo con el boletín para Flash, también publica actualizaciones para Adobe Reader y Acrobat (boletín APSB16-33). Se han solucionado 71 vulnerabilidades que afectan a las versiones 15.017.20053 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30201 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.17 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona un desbordamiento de entero, 46 problemas de corrupción de memoria, 20 vulnerabilidades de uso de memoria después de liberarla y un desbordamiento de búfer; todos ellos podrían permitir la ejecución de código. También se resuelven varios métodos para evitar restricciones de ejecución en la API Javascript y otro problema de salto de medidas de seguridad.

Los CVE asociados son: CVE-2016-1089, CVE-2016-1091, CVE-2016-6939 al CVE-2016-6979, CVE-2016-6988 y CVE-2016-6993 al CVE-2016-7019.

Adobe ha publicado las versiones 11.0.18 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.020.20039 y Acrobat DC y Reader DC Classic 15.006.30243; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Creative Cloud Desktop Application

Por último, una actualización de seguridad para Creative Cloud Desktop Application que soluciona una vulnerabilidad de ruta de búsqueda sin comillas (CVE-2016-6935). Esto podría provocar el acceso a recursos en una ruta superior, posibilitando una escalada de privilegios local.

Más información:

Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flash-player/apsb16-32.html

Security Updates Available for Adobe Acrobat and Reader

https://helpx.adobe.com/security/products/acrobat/apsb16-33.html

Security update available for the Creative Cloud Desktop Application

https://helpx.adobe.com/security/products/creative-cloud/apsb16-34.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *