Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex.

Flash Player

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.134 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.277 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.451 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB15-06, resuelve un total de 22 vulnerabilidades, para una de las cuales (CVE-2015-3043) Adobe reconoce la existencia de un exploit público en la actualidad.

La mayoría de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario, incluyendo un desbordamiento de búfer, 11 errores de corrupción de memoria, un error de confusión de tipos, cuatro vulnerabilidades de uso después de liberar y una de doble liberación. También se solucionan dos vulnerabilidades de fuga de memoria que podrían permitir evitar la protección ASLR y por último un salto de medidas de seguridad podría permitir la obtención de información sensible.

Los CVE asociados comprenden del CVE-2015-0346 al CVE-2015-0360 y del CVE-2015-3038 al CVE-2015-3044.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

Flash Player Desktop Runtime 17.0.0.169
Flash Player Extended Support Release 13.0.0.281
Flash Player para Linux 11.2.202.457

Igualmente se ha publicado la versión 17.0.0.169 de Flash Player para Internet Explorer y Chrome.

ColdFusion

También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2015-0345).

Se recomienda a los usuarios actualicen sus productos con las actualizaciones proporcionadas por Adobe:

ColdFusion 11 (Update 5):

http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-5.html

ColdFusion 10 (Update 16):

http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-16.html

Adobe Flex

Por último se ha identificado una vulnerabilidad importante (CVE-2015-1773) en la salida JavaScript de la herramienta ASDoc disponible en Adobe Flex 4 (y versiones anteriores). Este problema podría permitir a la realización de ataques de Cross-Site Scripting.

Adobe recomienda seguir los siguientes pasos:

1 - Descargar el archivo index.html disponible desde
http://s.apache.org/O1l

2 - Aplicar modificaciones en el archivo index.html existente (p.ej. actualizar el título de la página)

3 - Implementar los resultados en el sitio web

Mas información:

Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flex/apsb15-08.html

Security Update: Hotfixes available for ColdFusion

https://helpx.adobe.com/security/products/coldfusion/apsb15-07.html

Security vulnerability in output of Adobe Flex ASdoc Tool

https://helpx.adobe.com/security/products/flex/apsb15-08.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero