Adobe
ha publicado tres boletines de seguridad para anunciar las actualizaciones
necesarias para solucionar un total de 27 vulnerabilidades en Flash Player, Adobe
Reader, Acrobat y ColdFusión.
Flash Player
Para Adobe Flash
Player (boletín
APSB14-27)
que soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0587,
CVE-2014-9164), una vulnerabilidad por uso después de liberar (CVE-2014-8443) y
un desbordamiento de búfer (CVE-2014-9163) que podrían permitir la ejecución de
código. Una vulnerabilidad de divulgación de información (CVE-2014-9162) y otro
problema que podría permitir evadir la política de mismo origen (CVE-2014-0580).
Adobe ha publicado las siguientes
versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y
se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 16.0.0.235
- Flash Player Extended Support Release
13.0.0.259
- Flash Player para Linux
11.2.202.425
Igualmente se ha publicado la
versión 16.0.0.235 de Flash Player para Internet Explorer y Google Chrome.
Adobe Reader y Acrobat
Por otra parte, para Adobe Reader
y Acrobat (boletín
APSB14-28)
se han solucionado 20 vulnerabilidades que afectan a las versiones X (10.1.12 y
anteriores) y XI (11.0.09 y anteriores) para Windows y Macintosh.
Esta actualización soluciona tres
vulnerabilidades de uso después de liberar memoria, tres desbordamientos de búfer,
un desbordamiento de entero y ocho problemas de corrupción de memoria que podrían
permitir la ejecución de código.
Por otra parte una condición de
carrera TOCTOY (time-of-check time-of-use) podría permitir acceso de escritura
en el sistema de archivos; así como dos fallos por la implementación inadecuada
de una API Javascript y una vulnerabilidad en el tratamiento de entidades
externas XML que podrían facilitar la obtención de información sensible. Por último,
una vulnerabilidad que podría permitir evadir la política de mismo origen.
Adobe ha publicado las versiones
11.0.10 y 10.1.13 de ambos productos, las cuales solucionan los fallos vulnerabilidad
descritos. Se encuentran disponibles para su descarga desde la página oficial,
y a través del sistema de actualizaciones cuya configuración por defecto es la realización
de actualizaciones automáticas periódicas.
ColdFusion
También se han publicado
actualizaciones
para ColdFusion versiones 11 y 10. Estos parches están destinados a
corregir un problema de consumo de recursos que podría llegar a provocar una
denegación de servicio (CVE-2014-9166). ColdFusion 9.x no se ve afectado por
esta incidencia.
Se recomienda a los usuarios
actualicen sus productos según las instrucciones proporcionadas por Adobe:
Mas información:
Security Updates available for Adobe Reader and
Acrobat
Security updates available for Adobe Flash
Player
Security Update: Hotfixes available for
ColdFusion
Antonio Ropero
