Adobe
ha publicado dos boletines de seguridad
para anunciar las actualizaciones necesarias para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe
Reader y Acrobat.
Flash Player
Para Adobe Flash
Player se ha
publicado el boletín
APSB15-09
que soluciona
18 vulnerabilidades en
total.
Cuatro vulnerabilidades de
corrupción de memoria (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093),
una vulnerabilidad por uso después de liberar (CVE-2014-2080), un
desbordamiento de búfer (CVE-2014-3088), un desbordamiento de entero (CVE-2014-3087)
y tres vulnerabilidades de confusión de tipos (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086).
Todas ellas podrían permitir la ejecución de código.
Por otra parte, una condición de
carrera por una vulnerabilidad de tiempo de Comprobación tiempo de uso (TOCTOU)
que podría permitir evitar el Modo Protegido de Internet Explorer (CVE-2015-3081).
Tres problemas de saltos de validación que podrían permitir escribir datos arbitrarios
en el sistema de archivos bajo los permisos del usuario (CVE-2015-3082, CVE-2015-3083,
CVE-2015-3085). Vulnerabilidades de pérdida de memoria que podrían permitir
evitar la protección ASLR (CVE-2015-3091, CVE-2015-3092). Y por último, una
vulnerabilidad de salto de medidas de seguridad que podría permitir la
obtención de información sensible (CVE-2015-3079).
Adobe ha publicado las siguientes
versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y
se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 17.0.0.188
- Flash Player Extended Support Release 13.0.0.289
- Flash Player para Linux 11.2.202.460
Igualmente se ha publicado la
versión 17.0.0.188 de Flash Player para Internet Explorer y Google Chrome. Y la
versión 17.0.0.172 de AIR Desktop Runtime y el AIR SDK
Adobe Reader y Acrobat
Por otra parte, para Adobe Reader
y Acrobat (
boletín
APSB15-10) se han solucionado
34 vulnerabilidades que afectan a las
versiones X (10.1.13 y anteriores) y XI (11.0.10 y anteriores) para Windows y
Macintosh.
Esta actualización soluciona cinco
vulnerabilidades de uso después de liberar memoria, dos desbordamientos de
búfer, un desbordamiento de entero y 10 problemas de corrupción de memoria; todos
podrían permitir la ejecución de código.
También se resuelve una
vulnerabilidad de fuga de memoria, varios métodos para evitar restricciones de
ejecución en la API javascript y una denegación de servicio por desreferencia
de puntero nulo. Por último, se proporciona protección adicional contra la
vulnerabilidad CVE-2014-8452, de fuga de información por el tratamiento de
entidades externas XML. Los CVE asociados son: CVE-2014-8452, CVE-2014-9160,
CVE-2014-9161 y CVE-2015-3046 al CVE-2015-3076.
Adobe ha publicado las versiones
11.0.11 y 10.1.14 de ambos productos, las cuales solucionan los fallos
vulnerabilidad descritos. Se encuentran disponibles para su descarga desde la
página oficial, y a través del sistema de actualizaciones cuya configuración
por defecto es la realización de actualizaciones automáticas periódicas.
Más información:
Security updates available for Adobe Flash
Player
Antonio Ropero