Adobe ha lanzado actualización que soluciona 59 vulnerabilidades y afecta ha Adobe Campaign, Adobe Flash Player, Adobe Acrobat and Reader, Adobe Photoshop CC y Creative Cloud Desktop Application.

Adobe Reader y Acrobat

  • Sin duda la actualización más importante y que corrige más vulnerabilidades, es la dedicada Adobe Reader y Acrobat (boletín APSB17-11). Se han solucionado 47 vulnerabilidades que afectan a las versiones 15.023.20070 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30280 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.19 (y anteriores) para Windows y Macintosh.
  • Esta actualización soluciona dos desbordamientos de entero, 21 problemas de corrupción de memoria, 6 vulnerabilidades de uso de memoria después de liberarla, 4 desbordamientos de búfer y dos vulnerabilidades en la ruta de búsqueda de directorio empleado para encontrar recursos; todos ellos podrían permitir la ejecución de código. También se resuelven otros 12 vulnerabilidades de corrupción de memoria que podrían permitir la obtención de direcciones de memoria. Los CVE asociados son del CVE-2017-3011 al CVE-2017-3015, CVE-2017-3017 al CVE-2017-3057 y CVE-2017-3065.
  • Adobe ha publicado las versiones 11.0.20 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 2017.009.20044 y Acrobat DC y Reader DC Classic 2015.006.30306; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Adobe Flash Player

  • No podía faltar el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-10, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
  • Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y tres de corrupción de memoria. Los CVE asignados son: CVE-2017-3058 al CVE-2017-3064.
  • Adobe ha publicado la versión 25.0.0.148 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.
  • Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash

Adobe Campaign

  • Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad importante, que podría permitir la lectura, escritura o borrado de datos en la base de datos de Campaign por un salto de la validación de entradas (CVE-2017-2989).
  • Se recomienda actualizar a Adobe Campaign 6.11 Build 8795. https://docs.campaign.adobe.com/doc/AC6.1/en/RN.html#8795

Adobe Photoshop CC

  • En el boletín de seguridad APSB17-12 de Adobe, se recoge una actualización para Adobe Photoshop CC 2017 (18.0.1 y anteriores) y Adobe Photoshop CC 2015.5 (17.0.1 (2015.5.1) y anteriores) para Windows y Macintosh.
  • Este parche está destinado a corregir una corrupción de memoria al tratar archivos PCX maliciosos (CVE-2017-3004) que podría permitir la ejecución de código. Y una vulnerabilidad por una ruta de búsqueda sin comillas en Photoshop en Windows (CVE-2017-3005).
  • Se recomienda a los usuarios actualicen sus productos a través de los mecanismos disponibles en cada aplicación (Help/Updates).

Creative Cloud Desktop Application

  • Por último, Adobe ha publicado una actualización de seguridad para Creative Cloud Desktop Application para Windows. Está destinada a resolver una vulnerabilidad importante relacionada con el uso de permisos inadecuados durante la instalación de aplicaciones de escritorio Creative Cloud (CVE-2017-3006). También soluciona una vulnerabilidad relacionada con la ruta del directorio de búsqueda empleada para encontrar recursos (CVE-2017-3007).

Más información:

Fuente: Hispasec

Anuncios