Actualización para múltiples productos Adobe, incluido Flash

Actualización para múltiples productos Adobe, incluido Flash

83
Share on Facebook

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Animate, Adobe Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day en Flash Player.

Adobe Flash Player

Sin duda la actualización más importante es la de Adobe Flash Player. Para el que se ha publicado el boletín APSB16-39, destinado a solucionar otras 17 vulnerabilidades, entre las que se incluye un 0day. Todos los problemas, excepto uno, podrían permitir a un atacante tomar el control de los sistemas afectados.

Adobe reconoce que existe un exploit para una vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892, que se está utilizando en la actualidad de forma activa en ataques dirigidos contra usuarios con Internet Explorer (32-bit) en Windows. Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando siete vulnerabilidades de uso de memoria después de liberarla, cuatro desbordamientos de búfer y cinco de corrupción de memoria. Otra vulnerabilidad podría permitir evitar características de seguridad.

Los CVE asignados son: CVE-2016-7867 al CVE-2016-7881, CVE-2016-7890 y CVE-2016-7892. De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicó el boletín MS16-154, para reflejar estas actualizaciones de Adobe Flash.

Adobe ha publicado la versión 24.0.0.186 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades. Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde

http://www.adobe.com/go/getflash

Adobe Animate

En el boletín APSB16-38 se trata una vulnerabilidad de corrupción de memoria en Adobe Animate (CVE-2016-7866) para Windows o Macintosh. Se recomienda actualizar a Adobe Animate 16.0.0.112 disponible desde:

https://creative.adobe.com/products/download/animate

Adobe Experience Manager

Adobe ha publicado actualizaciones para Adobe Experience Manager para resolver cuatro vulnerabilidades consideradas importantes. Tres cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site Request Forgery (CVE-2016-7885). Se han publicado actualizaciones para las versiones 6.0, 6.1 y 6.2:

Adobe Experience Manager 6.0

Disponibles desde

https://helpx.adobe.com/experience-manager/kb/aem6-available-hotfixes.html

Adobe Experience Manager 6.1

Disponibles desde

https://helpx.adobe.com/experience-manager/kb/aem61-available-hotfixes.html

Adobe Experience Manager 6.2

Disponibles desde

https://helpx.adobe.com/experience-manager/kb/aem62-available-hotfixes.html

Adobe Experience Manager Forms

Adobe ha publicado el boletín APSB16-40 en el que informa de las actualizaciones para para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.

Las actualizaciones resuelven dos vulnerabilidades importantes de validación de entradas que podrían permitir la construcción de ataques de cross-site scripting (CVE-2016-6933 y CVE-2016-6934).

Se han publicado las siguientes actualizaciones:

Para Adobe Experience Manager Forms 6.2

https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-2/cumulative-jee-patch-0002.html

Para Adobe Experience Manager Forms 6.1

https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/cor-1064-012.html

https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-1-fp1/prm-1065-020.html

Para Adobe Experience Manager Forms 6.0

https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/cor-1042-015.html

https://helpx.adobe.com/content/help/en/aem-forms/quick-fixes/6-0-fp1/prm-1043-020.html

Para LiveCycle 11.0.1

https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/cor-1155-044.html

https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es4-sp1/prm-1161-017.html

Para LiveCycle 10.0.4

https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/cor-1064-025.html

https://helpx.adobe.com/content/help/en/livecycle/quick-fixes/livecycle-es3-sp2/prm-1065-007.html

Adobe DNG Converter

Adobe ha publicado una actualización de seguridad para Adobe DNG Converter para Windows y Macintosh, que resuelve una vulnerabilidad de corrupción de memoria considera crítica (CVE-2016-7856)

Se recomienda actualizar a Adobe DNG Converter 9.8 desde:

Para Windows:

https://www.adobe.com/support/downloads/detail.jsp?ftpID=6108

Para Macintosh:

https://www.adobe.com/support/downloads/detail.jsp?ftpID=6107

InDesign

En el boletín APSB16-43 Adobe publica actualizaciones para resolver una vulnerabilidad (CVE-2016-7886) de corrupción de memoria, considerada crítica, en InDesign para Windows y Macintosh.

Se recomienda actualizar a la versión 12.0.0 de InDesign e InDesign Server.

ColdFusion Builder

También ha publicado actualizaciones (APSB16-44) para resolver una vulnerabilidad importante en Adobe ColdFusion Builder para Windows, Linux y Macintosh. El problema podría permitir la obtención de información sensible (CVE-2016-7887).

Se recomienda actualizar a las versiones: ColdFusion Builder 2016 Update 3

Información técnica:

https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-2016-update-3.html

ColdFusion Builder 3.0 3.0.3 Hotfix

Información técnica:

https://helpx.adobe.com/coldfusion/kb/coldfusion-builder-3-update.html

Adobe Digital Editions

También se han solucionado dos vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh y Android; un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks. (APSB16-45)

Se ha solucionado una vulnerabilidad que podría permitir la fuga de direcciones de memoria (CVE-2016-7888) y otro problema de fuga de información asociado con el tratamiento de entidades XML modificadas (CVE-2016-7889).

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.3 desde:

Para Windows y Macintosh:

https://www.adobe.com/solutions/ebook/digital-editions/download.html

Para Android:

https://play.google.com/store/apps/details?id=com.adobe.digitaleditions

RoboHelp

Por último, el boletín APSB16-46 trata una actualización para solucionar una vulnerabilidad de cross-site scripting en RoboHelp para Windows (CVE-2016-7891).

Se recomienda actualizar a las versiones:

RoboHelp 2015.0.4

https://www.adobe.com/support/robohelp/downloads.html

RoboHelp 11 (Hotfix)

Nota técnica:

https://helpx.adobe.com/robohelp/kb/cross-site-scripting-vulnerability.html

 

Más información:

APSB16-38: Security update available for Adobe Animate

https://helpx.adobe.com/security/products/animate/apsb16-38.html

APSB16-39: Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flash-player/apsb16-39.html

APSB16-40: Security updates available for Adobe Experience Manager Forms

https://helpx.adobe.com/security/products/aem-forms/apsb16-40.html

APSB16-41: Security update available for the Adobe DNG Converter

https://helpx.adobe.com/security/products/dng-converter/apsb16-41.html

APSB16-42: Security updates available for Adobe Experience Manager

https://helpx.adobe.com/security/products/experience-manager/apsb16-42.html

APSB16-43: Security updates available for InDesign

https://helpx.adobe.com/security/products/indesign/apsb16-43.html

APSB16-44: Security update available for ColdFusion Builder

https://helpx.adobe.com/security/products/coldfusion/apsb16-44.html

APSB16-45: Security update available for Adobe Digital Editions

https://helpx.adobe.com/security/products/Digital-Editions/apsb16-45.html

APSB16-46: Security update available for RoboHelp

https://helpx.adobe.com/security/products/robohelp/apsb16-46.html

 

______

Hispasec – Antonio Ropero

 

banner ad