Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/09/2011
Actualización de seguridad para Adobe Reader y Acrobat
Se han identificado varias vulnerabilidades críticas en Adobe Reader X (10.1) y versiones anteriores para Windows y Macintosh, Adobe Reader 9.4.2 y anteriores para UNIX, y Adobe Acrobat X (10.1) y anteriores para Windows y Macintosh. Estas vulnerabilidades podrían provocar que una aplicación fallara y permitir, potencialemente, a un atacante tomar el control de un sistema afectado.Se han identificado varias vulnerabilidades críticas en Adobe Reader X (10.1) y versiones anteriores para Windows y Macintosh, Adobe Reader 9.4.2 y anteriores para UNIX, y Adobe Acrobat X (10.1) y anteriores para Windows y Macintosh. Estas vulnerabilidades podrían provocar que una aplicación fallara y permitir, potencialemente, a un atacante tomar el control de un sistema afectado.
Estas actualizaciones resulven:
- Una vulnerabilidad de escalada de privilegios local (Adobe Reader X (10.x) para Windows únicamente) (CVE-2011-1353).
- Una vulnerabilidad de evasión de la seguridad que podría llevar a la ejecución de código (CVE-2011-2431).
- Una vulnerabilidad de desbordamiento de memoria intermedia en el recurso U3D TIFF que podría permitir la ejecución de código (CVE-2011-2432).
- Una vulnerabilidad de desbordamiento de pila podría permitir la ejecución de ?odigo (CVE-2011-2433 y CVE-2011-2434).
- Una vulnerabilidad de desbordamiento de memoria intermedia podría permitir la ejecución de código (CVE-2011-2435).
- Una vulnerabilidad de desbordamiento de pila en la librería de procesamiento de imágenes de Adobe podría permitir la ejecución de código (CVE-2011-2436).
- Una vulnerabilidad de desbordamiento de pila podría permitir la ejecución de ?odigo (CVE-2011-2437).
- Tres vulnerabilidades de desbordamiento de pila en la librería de procesamiento de imágenes de Adobe podría permitir la ejecución de código (CVE-2011-2438).
- Una vulnerabilidad de pérdida de memoria podría permitir la ejecución de ?odigo (CVE-2011-2439).
- Una vulnerabilidad del tipo uso-después de-liberar (use-after-free) podría permitir la ejecución de ?odigo (CVE-2011-2440).
- Dos vulnerabilidades en la librería CoolType.dll podría permitir la ejecución de ?odigo (CVE-2011-2441).
- Una vulnerabilidad de error lógico que podría permitir la ejecución de ?odigo (CVE-2011-2442).
Estas actualizaciones también incorporan las actualizaciones para Adobe Flash Player, como se indica en el Boletín de Seguridad APSB11-21.
La próxima actualización de seguridad para Adobe Reader y Acrobat está programada para el 13 de diciembre de 2011.
Adobe Reader X (10.1) y anteriores, versiones para Windows y Macintosh
Adobe Reader 9.4.5 y anteriores, versiones para Windows, Macintosh y UNIX
Adobe Reader 8.3 y anteriores, versiones para Windows y Macintosh
Adobe Acrobat X (10.1) y anteriores, versiones para Windows y Macintosh
Adobe Acrobat 9.4.5 y anteriores, versiones para Windows y Macintosh
Adobe Acrobat 8.3 y anteriores, versiones para Windows y Macintosh
CVE-2011-1353, CVE-2011-2431, CVE-2011-2432, CVE-2011-2433, CVE-2011-2434, CVE-2011-2435, CVE-2011-2436, CVE-2011-2437, CVE-2011-2438, CVE-2011-2439, CVE-2011-2440, CVE-2011-2441, CVE-2011-2442
Solución:Adobe recomienda a los usuarios de Adobe Reader X (10.1) y versiones anteriores para Windows y Macintosh actualizar a Adobe Reader X (10.1.1). Para usuarios de Adobe Reader 9.4.5 y anteriores, para Windows y Macintosh, que no puedan actualizar a Adobe Reader X (10.1.1), Adobe ha lanzado una actualización, Adobe Reader 9.4.6 y Adobe Reader 8.3.1. Adobe recomienda a los usuarios de Adobe Acrobat X (10.1) para Windows y Macintosh actualizar a Adobe Acrobat (10.1.1). Adobe recomienda a los usuarios de Adobe Acrobat 9.4.5 y anteriores, para Windows y Macintosh actualizar a Adobe Acrobat 9.4.6, y a los usuarios de Adobe Acrobat 8.3 y anteriores, para Windows y Macintosh, actualizar a Adobe Acrobat 8.3.1. Adobe Reader 9.4.6 para UNIX está planificado para liberarse el 7 de noviembre de 2011.
Nota: El soporte para Adobe Reader 8.x y Acrobat 8.x para Windows y Macintosh termina el 3 de noviembre de 2011. Para más información: Adobe Reader and Acrobat 8 End of Support.
Adobe recomienda a los usuarios actualizar sus aplicaciones siguiendo las siguientes instrucciones:
Adobe Reader
Los usuarios pueden utilizar el mecanismo de actualización de productos. La configuración por defecto comprueba periódicamente las actualizaciones disponibles. Se puede forzar la comprobación manual mediante Ayuda > Comprobar actualizaciones.
Los usuarios de Adobe Reader en Windows pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
Los usuarios de Adobe Reader en Macintosh pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
Adobe Acrobat
Los usuarios pueden utilizar el mecanismo de actualización de productos. La configuración por defecto comprueba periódicamente las actualizaciones disponibles. Se puede forzar la comprobación manual mediante Ayuda > Comprobar actualizaciones.
Los usuarios de Acrobat Standard y Pro en Windows pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Los usuarios de Acrobat Pro Extended en Windows pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Los usuarios de Acrobat 3D en Windows pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Los usuarios de Acrobat Pro en Macintosh pueden encontrar también las actualizaciones en:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe quiere agradecer a las siguientes personas y organizaciones por informar de los problemas y por trabajar con Adobe para ayudar a proteger a nuestros clientes:
- Paul Sabanal and Mark Yason de IBM X-Force Advanced Research (CVE-2011-1353)
- Zhenhua Liu of Fortinet's Fortiguard Labs (CVE-2011-1353)
- Vladimir Vorontsov de ONsec (CVE-2011-2431)
- binaryproof through Tipping Point's Zero Day Initiative (CVE-2011-2432, CVE-2011-2433,CVE-2011-2434, CVE-2011-2435, CVE-2011-2436,CVE-2011-2437, CVE-2011-2438, CVE-2011-2441)
- James Quirk, Los Alamos (CVE-2011-2439)
- Un informador anónimo a través de iDefense Labs (CVE-2011-2440)
- Tavis Ormandy de Google Security Team (CVE-2011-2442)