Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/08/2014
Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash
Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar siete problemas en Flash Player que podrían permitir a un atacante tomar el control de los sistemas afectados y otra vulnerabilidad en Adobe Reader y Acrobat para Windows que podría permitir evitar la Sandbox.Para Adobe Flash Player se ha publicado el boletín APSB14-18, que soluciona cinco vulnerabilidades de fuga de memoria que podrían utilizarse para eludir la protección ASLR (Address Space Layout Randomization) (CVE-2014-0540, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545), un problema de salto de medidas de seguridad (CVE-2014-0541) y una vulnerabilidad por uso después de liberar que podría permitir la ejecución de código (CVE-2014-0538).
Por otra parte, para Adobe Reader y Acrobat, el boletín APSB14-19 soluciona una vulnerabilidad que podría permitir a un atacante salirse de la protección de la Sandbox (CVE-2014-0546). Solo afecta a las versiones de Reader y Acrobat para la plataforma Windows, y Adobe tiene evidencias de que ha sido utilizado en algunos ataques dirigidos aislados contra los usuarios de Adobe Reader en Windows.
Sistemas Afectados:Adobe Flash Player 14.0.0.145 y anteriores para Windows y Macintosh
Adobe Flash Player 11.2.202.394 y anteriores para Linux
Adobe AIR 14.0.0.110 y anteriores para Windows y Macintosh
Adobe AIR 14.0.0.137 SDK y anteriores
Adobe AIR 14.0.0.137 SDK & Compiler y anteriores
Adobe AIR 14.0.0.137 y anteriores para Android
Adobe Reader XI (11.0.07) y versiones anteriores de la rama 11.x para Windows
Adobe Reader X (10.1.10) y versiones anteriores de la rama 10.x para Windows
Adobe Acrobat XI (11.0.07) y versiones anteriores de la rama 11.x para Windows
Adobe Acrobat X (10.1.10) y versiones anteriores de la rama 10.x para Windows
CVE-2014-0540, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545, CVE-2014-0541, CVE-2014-0538, CVE-2014-0546
Solución:Para Adobe Flash se han publicado las siguientes versiones actualizadas: Adobe Flash Player 14.0.0.179 para el plugin Windows NPAPI de Firefox, Adobe Flash Player 14.0.0.176 para Macintosh, Internet Explorer 10 for Windows 8.0 y 8.1 y para el plugin Active X de Internet Explorer, Adobe Flash Player 14.0.0.177 para Chrome para Windows, Macintosh y Linux y Adobe Flash Player 11.2.202.400 para Linux.
Para Adobe Reader y Acrobat, se han publicado las versiones 11.0.08 y 10.1.11 de ambos productos, las cuales solucionan la vulnerabilidad descrita. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
Notas:APSB14-18
APSB14-19
Hispasec una-al-dia
US-CERT