Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/12/2014
Actualitzacions de seguretat per a Adobe Reader, Acrobat, Flash Player i ColdFusion
Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 27 vulnerabilidades en Flash Player, Adobe Reader, Acrobat y ColdFusión.Flash Player
Per a Adobe Flash Player (butlletí APSB14-27) que soluciona dos vulnerabilitats de corrupció de memòria (CVE-2014-0587, CVE-2014-9164), una vulnerabilitat per ús després d’alliberar (CVE-2014-8443) i un desbordament de búfer (CVE-2014-9163) que podrien permetre l’execució de codi. Una vulnerabilitat de divulgació d’informació (CVE-2014-9162) i un altre problema que podria permetre evadir la política d'idèntic origen (CVE-2014-0580).
Adobe ha publicat les següents versions de Adobe Flash Player destinades a solucionar les vulnerabilitats, i es troben disponibles per a la seua descàrrega des de la pàgina oficial:
- Flash Player Desktop Runtime 16.0.0.235
- Flash Player Esteneu Support Rellija’s 13.0.0.259
- Flash Player per a Linux 11.2.202.425
Igualment s’ha publicat la versió 16.0.0.235 de Flash Player per a Internet Explorer i Google Chrome.
Adobe Reader i Acrobat
D’altra banda, per a Adobe Reader i Acrobat (butlletí APSB14-28) s’han solucionat 20 vulnerabilitats que afecten les versions X (10.1.12 i anteriors) i XI (11.0.09 i anteriors) per a Windows i Macintosh.
Esta actualització soluciona tres vulnerabilitats d’ús després d’alliberar memòria, tres desbordaments de búfer, un desbordament de sencer i huit problemes de corrupció de memòria que podrien permetre l’execució de codi.
D’altra banda, una condició de carrera TOCTOY (estafe-of-check estafe-of-use) podria permetre accés d’escriptura en el sistema d’arxius; així com dos fallades per la implementació inadequada d’una API Javascript, i una vulnerabilitat en el tractament d’entitats externes XML, que podrien facilitar l’obtenció d’informació sensible, i finalment, una vulnerabilitat que podria permetre evadir la política de mateix origen.
Adobe ha publicat les versions 11.0.10 i 10.1.13 d’ambdós productes, les quals solucionen les fallades de vulnerabilitat descrites. Estan disponibles per a descàrrega des de la pàgina oficial i a través del sistema d’actualitzacions la configuració de la qual, per defecte, és la realització d’actualitzacions automàtiques periòdiques.
ColdFusion
També s’han publicat actualitzacions per a ColdFusion versions 11 i 10. Estos pegats estan destinats a corregir un problema de consum de recursos que podria arribar a provocar una denegació de servici (CVE-2014-9166). ColdFusion 9.x no es veu afectat per esta incidència.
Es recomana als usuaris que actualitzen els seus productes seguint les instruccions proporcionades per Adobe:
ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-3.html
ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-15.html
Adobe Flash Player, Adobe Reader y Acrobat, ColdFusion.
Referències:CVE-2014-0587, CVE-2014-9164,CVE-2014-8443, CVE-2014-9163, CVE-2014-9162,CVE-2014-0580.
Solució:Es recomana als usuaris que actualitzen els seus productes seguint les instruccions proporcionades per Adobe.
Notes:http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html