Adobe
ha publicado tres boletines de seguridad
para anunciar las actualizaciones necesarias para solucionar un total de 50 vulnerabilidades en Flash Player, Shockwave, Adobe
Reader y Acrobat.
Flash Player
Para Adobe Flash
Player se ha
publicado el boletín
APSB15-18 destinado a solucionar las
dos vulnerabilidades
0day relacionadas con el hacking Team.
Los
0day
anunciados se identifican con los
CVE-2015-5122
y
CVE-2015-5123.
Ambas están relacionadas con vulnerabilidades en la función ValueOf, en el
primer caso a través de los métodos "
TextBlock.createTextLine()"
y
"TextBlock.recreateTextLine(textLine)",
mientras que el segundo caso afecta a un objeto "BitmapData".
En ambos casos se han encontrado pruebas de concepto que muestran los efectos
de los fallos.
Adobe ha publicado las siguientes
versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y
se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 18.0.0.209
- Flash Player Extended Support Release 13.0.0.305
Igualmente se ha publicado la
versión 18.0.0.209 de Flash Player para Internet Explorer y Google Chrome.
Adobe Reader y Acrobat
Por otra parte, para Adobe Reader
y Acrobat (
boletín
APSB15-15) se han solucionado
46 vulnerabilidades que afectan a las
versiones X (10.1.14 y anteriores) y XI (11.0.11 y anteriores) para Windows y
Macintosh. También afecta a Acrobat DC y Acrobat Reader DC.
Esta actualización soluciona siete
vulnerabilidades de uso después de liberar memoria, cinco desbordamientos de
búfer, tres desbordamientos de entero y nueve problemas de corrupción de
memoria; todos ellos podrían permitir la ejecución de código.
También se resuelve una
vulnerabilidad de fuga de información, vulnerabilidades de salto de seguridad
que podrían permitir la divulgación de información, saltos de validación que
podrían permitir la elevación de privilegios o denegaciones de servicio, varios
métodos para evitar restricciones de ejecución en la API javascript y dos denegaciones
de servicio por referencia de puntero nulo.
Los CVE asociados son: CVE-2014-0566,
CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441,
CVE-2015-4445 al CVE-2015-4452 y CVE-2015-5085 al CVE-2015-5115
Adobe ha publicado las versiones
11.0.12 y 10.1.15 de Acrobat X y XI, Acrobat DC y Reader DC 2015.008.20082 y
Acrobat DC y Reader DC 2015.006.30060; las cuales solucionan los fallos
descritos. Se encuentran disponibles para su descarga desde la página oficial,
y a través del sistema de actualizaciones cuya configuración por defecto es la
realización de actualizaciones automáticas periódicas.
Adobe Shockwave Player
Adobe ha publicado un nuevo
boletín de seguridad (
APSB14-17)
para solucionar
dos vulnerabilidades críticas en Shockwave Player.
Shockwave es la tecnología
desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada
por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se
trata de un plugin para navegadores que no debe confundirse con Flash. En
cierta manera, es menos popular pero más potente a la hora de desarrollar
gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado
en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan
habitualmente páginas que lo requieran.
Las vulnerabilidades (con CVE-2015-5120
y CVE-2015-5121) están relacionadas problemas de corrupción de memoria que
podría permitir a un atacante la ejecución remota de código arbitrario. El
problema afecta las versiones de Adobe Shockwave Player 12.1.8.158 (y
anteriores) para plataformas Windows y Macintosh.
Adobe recomienda actualizar a la
versión 12.1.9.159 de Shockwave Player, disponible desde:
Más información:
Security updates available for Adobe Flash
Player
una-al-dia (13/07/2015) Nuevos
0day de Adobe Flash Player relacionados con el Hacking Team
CVE-2015-5122 - Second Adobe Flash Zero-Day in
HackingTeam Leak
Another Zero-Day Vulnerability Arises from
Hacking Team Data Leak
New Zero-Day Vulnerability (CVE-2015-5123) in
Adobe Flash Emerges from Hacking Team Leak
una-al-dia (08/07/2015) Sombreros
verdes y 400 gigas de caramelos
Security Updates Available for Adobe Acrobat
and Reader
Security update available for Adobe Shockwave
Player
Antonio Ropero
