Mostrando entradas con la etiqueta Adobe. Mostrar todas las entradas
Mostrando entradas con la etiqueta Adobe. Mostrar todas las entradas

lunes, 15 de octubre de 2018

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.

A continuación se exponen los boletines publicados para cada producto.

Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).

Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.

Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.

Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):
  • Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
  • Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
  • Adobe Experience Manager 6.x para todas las plataformas.
  • Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
  • Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.
Juan José Ruiz
jruiz @ hispasec.com

Más información:

APSB18-27 - Security Updates Available for Adobe Digital Editions:
https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html

APSB18-35 - Security updates available for Adobe Flash Player:
https://helpx.adobe.com/security/products/flash-player/apsb18-35.html

APSB18-36 - Security updates available for Adobe Experience Manager:
0 comentarios
Etiquetas: ,

sábado, 19 de mayo de 2018

Actualizaciones de seguridad en Adobe Acrobat y Reader

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader. Entre los fallos corregidos, hay una ejecución remota de código arbitrario.
Con un total de 47 vulnerabilidades corregidas, Adobe ha publicado parches que dan solución a un variado espectro de errores de programación: desbordamiento de memoria heap, double free (liberación reiterada del mismo recurso), uso de recursos ya liberados, escritura y lectura fuera de límites o evasión de restricciones de seguridad entre otras.



23 de estos fallos permitirían ejecutar código arbitrario, por lo que han sido categorizados como críticos. Además, una de estas vulnerabilidades, con la etiqueta CVE-2018-4990, está siendo explotada actualmente y se conoce, al menos, de una prueba de concepto para otra más, con CVE-2018-4993. 

Adobe ha puesto ha disposición de sus usuarios las actualizaciones pertinentes para las versiones de sus programas en los sistemas operativos Microsoft Windows y Apple MacOS.
David García
@dgn1729
Más información:


0 comentarios
Etiquetas: , ,

miércoles, 14 de junio de 2017

Actualizaciones para productos Adobe

Adobe ha publicado actualizaciones para solucionar nueve vulnerabilidades en Flash Player, otras nueve en Adobe Digital Editions, una en Adobe Shockwave Player y otra en Adobe Captivate.

Adobe Flash Player

Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-17, destinado a solucionar nueve vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución remota de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y cinco de corrupción de memoria. Los CVE asignados son: CVE-2017-3075 al CVE-2017-3079 y CVE-2017-3081 al CVE-2017-3084.

Adobe ha publicado la versión 26.0.0.126 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash

Adobe Shockwave Player

Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-18) para solucionar una vulnerabilidad crítica en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash.

En esta ocasión la vulnerabilidad (con CVE-2017-3086) consiste en una corrupción de memoria que podría permitir la ejecución remota de código. El problema afecta las versiones de Adobe Shockwave Player 12.2.8.198 y anteriores para plataformas Windows.

Adobe recomienda actualizar a la versión 12.2.9.199 de Shockwave Player, disponible desde:
http://get.adobe.com/shockwave/.

Adobe Captivate

Adobe ha publicado (APSB17-19) actualizaciones de seguridad para Adobe Captivate para Windows y Macintosh. Estas actualizaciones resuelven una vulnerabilidad de divulgación de información (CVE-2017-3087) debido al abuso de la función de informes de cuestionarios en Captivate.

Se han publicado las siguientes actualizaciones:
Adobe Captivate 2017 (10.0.0.192)
https://helpx.adobe.com/captivate/release-note/adobe-captivate-release-notes.html
Adobe Captivate 8 y 9
https://helpx.adobe.com/captivate/kb/security-updates-captivate.html

Adobe Digital Editions

También se han solucionado (APSB17-20) nueve vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh, iOS y Android, un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.

Se han solucionado cuatro vulnerabilidades de corrupción de memoria que podrían permitir la ejecución remota de código, tres de carga insegura de librerías que podrían permitir la elevación de privilegios y dos de desbordamiento de búfer que permitirían la obtención de direcciones de memoria. Los CVE asignados son CVE-2017-3088 al CVE-2017-3090 y CVE-2017-3092 al CVE-2017-3097.

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.5 desde:
Para Windows y Macintosh:
https://www.adobe.com/solutions/ebook/digital-editions/download.html
Para iOS:
https://itunes.apple.com/us/app/adobe-digital-editions/id952977781?mt=8
Para Android:
https://play.google.com/store/apps/details?id=com.adobe.digitaleditions


Más información:

Security updates available for Flash Player | APSB17-17
https://helpx.adobe.com/security/products/flash-player/apsb17-17.html

Security update available for Shockwave Player | APSB17-18
https://helpx.adobe.com/security/products/shockwave/apsb17-18.html

Security updates available for Adobe Captivate | APSB17-19
https://helpx.adobe.com/security/products/captivate/apsb17-19.html

Security updates available for Adobe Digital Editions | APSB17-20
https://helpx.adobe.com/security/products/Digital-Editions/apsb17-20.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , , ,

domingo, 14 de mayo de 2017

Actualización para Adobe Flash Player y Experience Manager Forms

Adobe ha publicado actualizaciones para solucionar siete vulnerabilidades en Flash Player y otra en Experience Manager Forms.

Adobe Flash Player

Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-15, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando una vulnerabilidad de uso de memoria después de liberarla y seis de corrupción de memoria. Los CVE asignados son: CVE-2017-3068 al CVE-2017-3074.

Adobe ha publicado la versión 25.0.0.171 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash

Adobe Experience Manager Forms

Por otra parte, Adobe ha publicado una actualización de seguridad para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0.

Está destinada a resolver una vulnerabilidad de obtención de información sensible, considerada importante, resultante del abuso del servicio de pre-population en AEM Forms (CVE-2017-3067). Se ha resuelto proporcionando a los administradores controles adicionales en la configuración para restringir las rutas de archivos y protocolos empleados para rellenar automáticamente un formulario.

Se han publicado las siguientes actualizaciones:
Adobe Experience Manager Forms 6.2 SP1 CFP3
https://helpx.adobe.com/experience-manager/release-notes--aem-6-2-cumulative-fix-pack.html
Adobe Experience Manager Forms 6.1 SP2 CFP8
https://helpx.adobe.com/experience-manager/release-notes--aem-6-1-cumulative-fix-pack-.html
Adobe Experience Manager Forms 6.0 HotFix 2.0.58
https://helpx.adobe.com/aem-forms/quick-fixes/6-0/adaptive-form-2-0-58.html

Más información:

APSB17-15 Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-15.html

Security updates available for Adobe Experience Manager Forms
https://helpx.adobe.com/security/products/aem-forms/apsb17-16.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
1 comentarios
Etiquetas: , ,

viernes, 28 de abril de 2017

Actualización de seguridad para Adobe ColdFusion

Adobe ha publicado un boletín de seguridad para anunciar la actualización necesaria para solucionar dos vulnerabilidades importantes en Cold Fusion, un cross-site scripting y una deserialziación en Java.

En el boletín de seguridad APSB17-14 de Adobe, se recoge una actualización para ColdFusion versiones 2016 (Update 3 y anteriores), 11 (Update 11 y anteriores) y 10 (Update 22 y anteriores). Este parche está destinado a corregir una vulnerabilidad de validación de entradas que podría permitir la construcción de ataques cross-site scripting (CVE-2017-3008). Esta actualización también incluye una versión actualizada de Apache BlazeDS para mitigar una deserialización en Java (CVE-2017-3066).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 2016 (Update 4):
https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-4.html
ColdFusion 11 (Update 12):
https://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-12.html
ColdFusion 10 (Update 23):
https://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-23.html

Más información:

Security Update: Hotfixes available for ColdFusion
https://helpx.adobe.com/security/products/coldfusion/apsb17-14.html




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
0 comentarios
Etiquetas: ,

jueves, 13 de abril de 2017

Actualización para múltiples productos Adobe

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Campaign, Adobe Flash Player, Adobe Acrobat and Reader, Adobe Photoshop CC y Creative Cloud Desktop Application. En total se han solucionado 59 vulnerabilidades.

Adobe Reader y Acrobat

Sin duda la actualización más importante y que corrige más vulnerabilidades, es la dedicada Adobe Reader y Acrobat (boletín APSB17-11). Se han solucionado 47 vulnerabilidades que afectan a las versiones 15.023.20070 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30280 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.19 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona dos desbordamientos de entero, 21 problemas de corrupción de memoria, 6 vulnerabilidades de uso de memoria después de liberarla, 4 desbordamientos de búfer y dos vulnerabilidades en la ruta de búsqueda de directorio empleado para encontrar recursos; todos ellos podrían permitir la ejecución de código. También se resuelven otros 12 vulnerabilidades de corrupción de memoria que podrían permitir la obtención de direcciones de memoria. Los CVE asociados son del CVE-2017-3011 al CVE-2017-3015, CVE-2017-3017 al CVE-2017-3057 y CVE-2017-3065.

Adobe ha publicado las versiones 11.0.20 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 2017.009.20044 y Acrobat DC y Reader DC Classic 2015.006.30306; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Adobe Flash Player
 
No podía faltar el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-10, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y tres de corrupción de memoria. Los CVE asignados son: CVE-2017-3058 al CVE-2017-3064.

Adobe ha publicado la versión 25.0.0.148 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash

Adobe Campaign

Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad importante, que podría permitir la lectura, escritura o borrado de datos en la base de datos de Campaign por un salto de la validación de entradas (CVE-2017-2989).

Se recomienda actualizar a Adobe Campaign 6.11 Build 8795.
https://docs.campaign.adobe.com/doc/AC6.1/en/RN.html#8795

Adobe Photoshop CC

En el boletín de seguridad APSB17-12 de Adobe, se recoge una actualización para Adobe Photoshop CC 2017 (18.0.1 y anteriores) y Adobe Photoshop CC 2015.5 (17.0.1 (2015.5.1) y anteriores) para Windows y Macintosh.

Este parche está destinado a corregir una corrupción de memoria al tratar archivos PCX maliciosos (CVE-2017-3004) que podría permitir la ejecución de código. Y una vulnerabilidad por una ruta de búsqueda sin comillas en Photoshop en Windows (CVE-2017-3005).

Se recomienda a los usuarios actualicen sus productos a través de los mecanismos disponibles en cada aplicación (Help/Updates).

Creative Cloud Desktop Application

Por último, Adobe ha publicado una actualización de seguridad para Creative Cloud Desktop Application para Windows. Está destinada a resolver una vulnerabilidad importante relacionada con el uso de permisos inadecuados durante la instalación de aplicaciones de escritorio Creative Cloud (CVE-2017-3006). También soluciona una vulnerabilidad relacionada con la ruta del directorio de búsqueda empleada para encontrar recursos (CVE-2017-3007).

Más información:

APSB17-09 Security update available for Adobe Campaign
https://helpx.adobe.com/security/products/campaign/apsb17-09.html

APSB17-10 Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-10.html

APSB17-11 Security updates available for Adobe Acrobat and Reader 
https://helpx.adobe.com/security/products/acrobat/apsb17-11.html

APSB17-12 Security update available for Adobe Photoshop CC
https://helpx.adobe.com/security/products/photoshop/apsb17-12.html

APSB17-13 Security update available for the Creative Cloud Desktop Application
https://helpx.adobe.com/security/products/creative-cloud/apsb17-13.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


0 comentarios
Etiquetas: , , ,

sábado, 18 de marzo de 2017

Actualizaciones de seguridad para Adobe Flash Player y Shockwave Player

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar siete vulnerabilidades en Flash Player y una en Shockwave Player.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-07 que soluciona siete vulnerabilidades.

Los problemas incluyen dos vulnerabilidades de corrupción de memoria, un desbordamiento de búfer y tres por uso de memoria después de liberarla que podrían permitir la ejecución de código; y un fallo en el generador de números aleatorios que podría permitir la obtención de información. Los CVE asignados son del CVE-2017-2997 al CVE-2017-3003.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 25.0.0.127
  • Flash Player para Linux 25.0.0.127
Igualmente se ha publicado la versión 25.0.0.127 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash

Adobe Shockwave Player

Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-08) para solucionar una vulnerabilidad importante en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

En esta ocasión la vulnerabilidad (con CVE-2017-2983) está relacionada con un problema en la ruta de búsqueda de directorios empleada para encontrar recursos que podría permitir una escalada de privilegios. El problema afecta las versiones de Adobe Shockwave Player 12.2.7.197 y anteriores para plataformas Windows.

Adobe recomienda actualizar a la versión 12.2.8.198 de Shockwave Player, disponible desde:
http://get.adobe.com/shockwave/.

Más información:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-07.html

Security update available for Adobe Shockwave Player 
https://helpx.adobe.com/security/products/shockwave/apsb17-08.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
1 comentarios
Etiquetas: , , , ,

martes, 14 de febrero de 2017

Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player, nueve en Digital Editions y dos en Adobe Campaign.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-04 que soluciona 13 vulnerabilidades.

Los problemas incluyen cuatro vulnerabilidades de corrupción de memoria, tres desbordamientos de búfer, una vulnerabilidad de confusión de tipos, un desbordamiento de entero y cuatro por uso de memoria después de liberarla; todas ellas podrían permitir la ejecución de código. Los CVE asignados son CVE-2017-2982, CVE-2017-2984 al CVE-2017-2988 y CVE-2017-2990 al CVE-2017-2996.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 24.0.0.221
  • Flash Player para Linux 24.0.0.221

Igualmente se ha publicado la versión 24.0.0.221 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash

Adobe Digital Editions

También se han solucionado nueve vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.

Se han solucionado nueve vulnerabilidades de de desbordamiento de búfer, aunque solo una de ellas podría permitir la ejecución remota de código. Los CVE asignados son CVE-2017-2973 al CVE-2017-2981.

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.4 desde:
Para Windows y Macintosh:
https://www.adobe.com/solutions/ebook/digital-editions/download.html
Para Android:
https://play.google.com/store/apps/details?id=com.adobe.digitaleditions

Adobe Campaign

Por último, Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad de impacto moderado, que podría permitir a un usuario autenticado con acceso a la consola de cliente subir un archivo malicioso y ejecutarlo (CVE-2017-2968). También se resuelve otro problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2017-2969).

Se recomienda actualizar a 16.8 Build 8757 y versiones posteriores.
https://docs.campaign.adobe.com/doc/AC6.1/en/RN.html#8757

Más información:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-04.html

Security update available for Adobe Digital Editions
https://helpx.adobe.com/security/products/Digital-Editions/apsb17-05.html

Security update available for Adobe Campaign
https://helpx.adobe.com/security/products/campaign/apsb17-06.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


0 comentarios
Etiquetas: , , ,

miércoles, 11 de enero de 2017

Actualizaciones de seguridad para Adobe Flash Player, Acrobat y Reader

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player y 29 en Adobe Acrobat y Reader.

Adobe Reader y Acrobat

Adobe dedica el primer boletín de seguridad del año a las actualizaciones para Adobe Reader y Acrobat (boletín APSB17-01). Se han solucionado 29 vulnerabilidades que afectan a las versiones 15.020.20042 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30244 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.18 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona una confusión de tipos, 12 problemas de corrupción de memoria, siete vulnerabilidades de uso de memoria después de liberarla y ocho desbordamientos de búfer; todos ellos podrían permitir la ejecución de código. También se resuelve otro problema de salto de medidas de seguridad. Los CVE asociados son del CVE-2017-2939 al CVE-2017-2967.

Adobe ha publicado las versiones 11.0.19 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.023.20053 y Acrobat DC y Reader DC Classic 15.006.30279; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-02 que soluciona 13 vulnerabilidades.

Los problemas incluyen cinco vulnerabilidades de corrupción de memoria, cuatro desbordamientos de búfer y tres por uso de memoria después de liberarla; que podrían permitir la ejecución de código. Por otra parte, otro problema de salto de medidas de seguridad que podría permitir la obtención de información sensible. Los CVE asignados son CVE-2017-2925 al CVE-2017-2928 y CVE-2017-2930 al CVE-2017-2938.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
Flash Player Desktop Runtime 24.0.0.194
Flash Player para Linux 24.0.0.194
Igualmente se ha publicado la versión 24.0.0.194 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash

Más información:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-02.html

Security Updates Available for Adobe Acrobat and Reader
https://helpx.adobe.com/security/products/acrobat/apsb17-01.html




Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
1 comentarios
Etiquetas: , , , , ,

jueves, 15 de diciembre de 2016

Actualización para múltiples productos Adobe, incluido Flash

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Animate, Adobe Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day en Flash Player.

Adobe Flash Player

Sin duda la actualización más importante es la de Adobe Flash Player. Para el que se ha publicado el boletín APSB16-39, destinado a solucionar 17 vulnerabilidades, entre las que se incluye un 0day. Todos los problemas, excepto uno, podrían permitir a un atacante tomar el control de los sistemas afectados.

Adobe reconoce que existe un exploit para una vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892, que se está utilizando en la actualidad de forma activa en ataques dirigidos contra usuarios con Internet Explorer (32-bit) en Windows.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando siete vulnerabilidades de uso de memoria después de liberarla, cuatro desbordamientos de búfer y cinco de corrupción de memoria. Otra vulnerabilidad podría permitir evitar características de seguridad.

Los CVE asignados son: CVE-2016-7867 al CVE-2016-7881, CVE-2016-7890 y CVE-2016-7892.

De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicó el boletín MS16-154, para reflejar estas actualizaciones de Adobe Flash.

Adobe ha publicado la versión 24.0.0.186 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash

Adobe Animate

En el boletín APSB16-38 se trata una vulnerabilidad de corrupción de memoria en Adobe Animate (CVE-2016-7866) para Windows o Macintosh.
Se recomienda actualizar a Adobe Animate 16.0.0.112 disponible desde:
https://creative.adobe.com/products/download/animate

Adobe Experience Manager

Adobe ha publicado actualizaciones para Adobe Experience Manager para resolver cuatro vulnerabilidades consideradas importantes. Tres cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site Request Forgery (CVE-2016-7885).

Se han publicado actualizaciones para las versiones 6.0, 6.1 y 6.2:
Adobe Experience Manager 6.0
Disponibles desde https://helpx.adobe.com/experience-manager/kb/aem6-available-hotfixes.html
Adobe Experience Manager 6.1
Disponibles desde https://helpx.adobe.com/experience-manager/kb/aem61-available-hotfixes.html
Adobe Experience Manager 6.2
Disponibles desde https://helpx.adobe.com/experience-manager/kb/aem62-available-hotfixes.html

Adobe Experience Manager Forms

Adobe ha publicado el boletín APSB16-40 en el que informa de las actualizaciones para para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle.
Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.

Las actualizaciones resuelven dos vulnerabilidades importantes de validación de entradas que podrían permitir la construcción de ataques de cross-site scripting (CVE-2016-6933 y CVE-2016-6934).

Se han publicado las siguientes actualizaciones:
Para Adobe Experience Manager Forms 6.2
https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-2/cumulative-jee-patch-0002.html
Para Adobe Experience Manager Forms 6.1
https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/cor-1064-012.html
https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/prm-1065-020.html
Para Adobe Experience Manager Forms 6.0
https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/cor-1042-015.html
https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/prm-1043-020.html
Para LiveCycle 11.0.1
https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/cor-1155-044.html
https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/prm-1161-017.html
Para LiveCycle 10.0.4
https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/cor-1064-025.html
https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/prm-1065-007.html

Adobe DNG Converter

Adobe ha publicado una actualización de seguridad para Adobe DNG Converter para Windows y Macintosh, que resuelve una vulnerabilidad de corrupción de memoria considera crítica (CVE-2016-7856)

Se recomienda actualizar a Adobe DNG Converter 9.8 desde:
Para Windows: https://www.adobe.com/support/downloads/detail.jsp?ftpID=6108
Para Macintosh: https://www.adobe.com/support/downloads/detail.jsp?ftpID=6107

InDesign

En el boletín APSB16-43 Adobe publica actualizaciones para resolver una vulnerabilidad (CVE-2016-7886) de corrupción de memoria, considerada crítica, en InDesign para Windows y Macintosh.

Se recomienda actualizar a la versión 12.0.0 de InDesign e InDesign Server.

ColdFusion Builder

También ha publicado actualizaciones (APSB16-44) para resolver una vulnerabilidad importante en Adobe ColdFusion Builder para Windows, Linux y Macintosh. El problema podría permitir la obtención de información sensible (CVE-2016-7887).

Se recomienda actualizar a las versiones:
ColdFusion Builder 2016 Update 3
Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-2016-update-3.html
ColdFusion Builder 3.0 3.0.3 Hotfix
Información técnica: https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-3-update.html

Adobe Digital Editions

También se han solucionado dos vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh y Android; un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks. (APSB16-45)

Se ha solucionado una vulnerabilidad que podría permitir la fuga de direcciones de memoria (CVE-2016-7888) y otro problema de fuga de información asociado con el tratamiento de entidades XML modificadas (CVE-2016-7889).

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.3 desde:
Para Windows y Macintosh:
https://www.adobe.com/solutions/ebook/digital-editions/download.html
Para Android:
https://play.google.com/store/apps/details?id=com.adobe.digitaleditions

RoboHelp

Por último, el boletín APSB16-46 trata una actualización para solucionar una vulnerabilidad de cross-site scripting en RoboHelp para Windows (CVE-2016-7891).

Se recomienda actualizar a las versiones:
RoboHelp 2015.0.4
https://www.adobe.com/support/robohelp/downloads.html
RoboHelp 11 (Hotfix)
Nota técnica:
https://helpx.adobe.com/robohelp/kb/cross-site-scripting-vulnerability.html


Más información:

APSB16-38: Security update available for Adobe Animate
https://helpx.adobe.com/security/products/animate/apsb16-38.html

APSB16-39: Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html

APSB16-40: Security updates available for Adobe Experience Manager Forms
https://helpx.adobe.com/security/products/aem-forms/apsb16-40.html

APSB16-41: Security update available for the Adobe DNG Converter
https://helpx.adobe.com/security/products/dng-converter/apsb16-41.html

APSB16-42: Security updates available for Adobe Experience Manager
https://helpx.adobe.com/security/products/experience-manager/apsb16-42.html

APSB16-43: Security updates available for InDesign
https://helpx.adobe.com/security/products/indesign/apsb16-43.html

APSB16-44: Security update available for ColdFusion Builder
https://helpx.adobe.com/security/products/coldfusion/apsb16-44.html

APSB16-45: Security update available for Adobe Digital Editions
https://helpx.adobe.com/security/products/Digital-Editions/apsb16-45.html

APSB16-46: Security update available for RoboHelp
https://helpx.adobe.com/security/products/robohelp/apsb16-46.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

0 comentarios
Etiquetas: , , , , ,

miércoles, 9 de noviembre de 2016

Actualizaciones de seguridad para Adobe Flash Player y Adobe Connect

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar nueve vulnerabilidades en Flash Player y otra en Adobe Connect.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-37 que soluciona nueve vulnerabilidades.

Los problemas incluyen tres vulnerabilidades de confusión de tipos y seis por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Los CVE asignados van del CVE-2016-7857 al CVE-2016-7865.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 23.0.0.207
  • Flash Player para Linux 11.2.202.644

Igualmente se ha publicado la versión 23.0.0.207 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash

Adobe Connect

Por otra parte, el boletín APSB16-35 se recoge la publicación de una nueva versión de Adobe Connect que soluciona una vulnerabilidad.

Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.

La actualización resuelve una vulnerabilidad (CVE-2016-7851) de validación de entradas en el modulo de registro en eventos que podría permitir la realización de ataques de cross-site scripting. Afecta a Adobe Connect 9.5.6 (y anteriores).

La nueva versión Adobe Connect 9.5.7 también incluye correcciones de diversos errores no relacionados directamente con problemas de seguridad.


Más información:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb16-37.html

Security update available for Adobe Connect
https://helpx.adobe.com/security/products/connect/apsb16-35.html

Adobe Connect 9.5.7 Release Notes
https://helpx.adobe.com/adobe-connect/release-note/adobe-connect-9-5-7-release-notes.html

Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017