Adobe
ha publicado una actualización para nueve de sus productos. En esta ocasión los
productos afectados son Adobe Animate,
Adobe Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe
Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y
RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day
en Flash Player.
Adobe Flash Player
Sin duda la actualización más
importante es la de Adobe Flash Player. Para el que se ha publicado el boletín APSB16-39,
destinado a solucionar 17 vulnerabilidades, entre las que se incluye un
0day. Todos los problemas, excepto uno, podrían permitir a un atacante tomar el
control de los sistemas afectados.
Adobe reconoce que existe un
exploit para una vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892,
que se está utilizando en la actualidad de forma activa en ataques dirigidos
contra usuarios con Internet Explorer (32-bit) en Windows.
Los problemas que se corrigen en
este boletín podrían permitir la ejecución de código arbitrario aprovechando siete
vulnerabilidades de uso de memoria después de liberarla, cuatro desbordamientos
de búfer y cinco de corrupción de memoria. Otra vulnerabilidad podría permitir
evitar características de seguridad.
Los CVE asignados son: CVE-2016-7867
al CVE-2016-7881, CVE-2016-7890 y CVE-2016-7892.
De igual forma, como viene siendo
habitual en los últimos meses, Microsoft también publicó
el boletín MS16-154,
para reflejar estas actualizaciones de Adobe Flash.
Adobe ha publicado la versión 24.0.0.186
de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores
Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.
Adobe recomienda a los usuarios
de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh
actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash
Adobe Animate
En el boletín APSB16-38
se trata una vulnerabilidad de corrupción de memoria en Adobe Animate
(CVE-2016-7866) para Windows o Macintosh.
Se recomienda actualizar a Adobe
Animate 16.0.0.112 disponible desde:
Adobe Experience Manager
Adobe ha publicado
actualizaciones para Adobe Experience Manager para resolver cuatro
vulnerabilidades consideradas importantes. Tres cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site
Request Forgery (CVE-2016-7885).
Se han publicado actualizaciones
para las versiones 6.0, 6.1 y 6.2:
Adobe Experience Manager 6.0
Adobe Experience Manager 6.1
Adobe Experience Manager 6.2
Adobe Experience Manager Forms
Adobe ha publicado el boletín APSB16-40
en el que informa de las actualizaciones para para Adobe Experience Manager
(AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe
LiveCycle.
Afectan a Adobe Experience
Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.
Las actualizaciones resuelven dos
vulnerabilidades importantes de validación de entradas que podrían permitir la
construcción de ataques de cross-site scripting (CVE-2016-6933 y CVE-2016-6934).
Se han publicado las siguientes
actualizaciones:
Para Adobe Experience Manager Forms
6.2
Para Adobe Experience Manager
Forms 6.1
Para Adobe Experience Manager
Forms 6.0
Para LiveCycle 11.0.1
Para LiveCycle 10.0.4
Adobe DNG Converter
Adobe ha publicado una
actualización de seguridad para Adobe DNG Converter para Windows y Macintosh,
que resuelve una vulnerabilidad de corrupción de memoria considera crítica (CVE-2016-7856)
Se recomienda actualizar a Adobe
DNG Converter 9.8 desde:
Para Macintosh: https://www.adobe.com/support/downloads/detail.jsp?ftpID=6107
InDesign
En el boletín APSB16-43 Adobe publica actualizaciones para resolver una
vulnerabilidad (CVE-2016-7886) de corrupción de memoria, considerada crítica, en
InDesign para Windows y Macintosh.
Se recomienda actualizar a la versión
12.0.0 de InDesign e InDesign Server.
ColdFusion Builder
También ha publicado actualizaciones
(APSB16-44)
para resolver una vulnerabilidad importante en Adobe ColdFusion Builder para Windows,
Linux y Macintosh. El problema podría permitir la obtención de información
sensible (CVE-2016-7887).
Se recomienda actualizar a las versiones:
ColdFusion Builder 2016 Update 3
Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-2016-update-3.html
ColdFusion Builder 3.0 3.0.3
Hotfix
Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-3-update.html
Adobe Digital Editions
Se ha solucionado una vulnerabilidad
que podría permitir la fuga de direcciones de memoria (CVE-2016-7888) y otro
problema de fuga de información asociado con el tratamiento de entidades XML modificadas
(CVE-2016-7889).
Adobe recomienda a los usuarios
actualizar los productos afectados a la versión 4.5.3 desde:
Para Windows y Macintosh:
Para Android:
RoboHelp
Por último, el boletín APSB16-46
trata una actualización para solucionar una vulnerabilidad de cross-site
scripting en RoboHelp para Windows (CVE-2016-7891).
Se recomienda actualizar a las
versiones:
RoboHelp 2015.0.4
RoboHelp 11 (Hotfix)
Nota técnica:
Más información:
APSB16-38: Security update available for Adobe
Animate
APSB16-39: Security updates available for Adobe
Flash Player
APSB16-40: Security updates available for Adobe
Experience Manager Forms
APSB16-41: Security update available for the
Adobe DNG Converter
APSB16-42: Security updates available for Adobe
Experience Manager
APSB16-43: Security updates available for
InDesign
APSB16-44: Security update available for
ColdFusion Builder
APSB16-45: Security update available for Adobe
Digital Editions
APSB16-46: Security update available for
RoboHelp
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario