----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----
Date: Thu, 16 Jun 2016 23:00:05 -0400 From: Salcocho Noticioso <feedblas...@hcg.sld.cu> To: laz...@hcg.sld.cu Subject: Actualizaciones de seguridad para múltiples productos Adobe [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.1p112 (2016-04-26 revision 54768) [x86_64-linux] Actualizaciones de seguridad para múltiples productos Adobe Adobe ha publicado seis boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 36 vulnerabilidades en Flash (incluido un 0day), una en DNG Software Development Kit (SDK), dos en Brackets, dos en Creative Cloud Desktop Application, una en Cold Fusion y una en Adobe AIR. En total 43 vulnerabilidades corregidas. Flash Player [flash_player] Sin duda la más importante de las actualizaciones publicadas es su ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-18, destinado a solucionar hasta 36 vulnerabilidades. Entre las que se incluye un 0day que se está explotando en la actualidad de forma activa. Prácticamente la totalidad de los problemas podrían permitir a un atacante tomar el control de los sistemas afectados. Todo parece indicar que con objeto de incluir la solución a la vulnerabilidad 0-day (CVE-2016-4171) debida a una corrupción de memoria, Adobe se vio obligada a retrasar la publicación del boletín destinado a Flash. Excepto una vulnerabilidad, el resto de los problemas que se solucionan en este boletín podrían permitir la ejecución de código arbitrario aprovechando seis vulnerabilidades de uso de memoria después de liberarla, dos de confusión de tipos, tres desbordamientos de búfer, 23 de corrupción de memoria y una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos. Por último, otra vulnerabilidad que podría emplearse para saltar la política de mismo origen y obtener información sensible. Los CVE asignados son: CVE-2016-4122 al CVE-2016-4125, CVE-2016-4127 al CVE-2016-4156, CVE-2016-4166 y CVE-2016-4171. De igual forma, como viene siendo habitual en los últimos meses, Microsoft también ha publicado un boletín (el MS16-083), para reflejar estas actualizaciones de Adobe Flash (incluido el 0-day). Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: • Flash Player Desktop Runtime 22.0.0.192 • Flash Player Extended Support Release 18.0.0.360 • Flash Player para Linux 11.2.202.626 Igualmente se ha publicado la versión 22.0.0.192 de Flash Player para navegadores Internet Explorer, Edge y Chrome. Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde: http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html. Para actualizar Adobe Flash Player para Linux: http://www.adobe.com/go/getflash ColdFusion [coldfusion] En el boletín de seguridad APSB16-22de Adobe, se recoge una actualización para ColdFusion versiones 2016, 11 y 10. Este parche está destinado a corregir una vulnerabilidad importante relacionada con un error en la validación de entradas (CVE-2016-4159) que podría emplearse para realizar ataques de cross-site scripting. Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe: ColdFusion (2016): http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-2.html ColdFusion 11: http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-9.html ColdFusion 10: http://helpx.adobe.com/coldfusion/kb/ coldfusion-10-update-20.html Adobe DNG Software Development Kit (SDK) En el boletín de seguridad APSB16-19de Adobe, se recoge una actualización para Adobe DNG Software Development Kit (SDK) 1.4 (2012 release) y anteriores, para Windows y Macintosh. Este parche está destinado a corregir una vulnerabilidad de corrupción de memoria (CVE-2015-4167). Se ha publicado la versión 1.4 (2016 release) disponible desde: https://www.adobe.com/support/downloads/dng/dng_sdk.html Adobe Brackets [adobe-logo]En el boletín de seguridad APSB16-20de Adobe, se recoge una actualización para Adobe Brackets 1.6 (y anteriores) para Windows, Macintosh y Linux. Este parche está destinado a corregir una vulnerabilidad de inyección JavaScript que podría emplearse para ataques de cross-site scripting (CVE-2016-4164) y otra vulnerabilidad de validación de entradas en el administrador de extensiones (CVE-2016-4165). Adobe ha publicado Adobe Brackets 1.7 disponible desde: https://github.com/adobe/brackets/releases Creative Cloud Desktop Application En el boletín de seguridad APSB16-21de Adobe, se informa de una actualización para Creative Cloud Desktop Application para Windows. Esta actualización soluciona una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos que podría permitir la ejecución de código (CVE-2016-4157) y otra de enumeración de servicios con rutas sin comillas (CVE-2016-4158). Adobe ha publicado la version Creative Cloud 3.7.0.272 disponible desde https://www.adobe.com/creativecloud/desktop-app.html Adobe AIR El último de los boletines de seguridad publicados se refiere a Adobe AIR ( APSB16-23), en el que anuncia una vulnerabilidad (con CVE-2016-4116) en la búsqueda de ruta de directorio empleada por el instalador de Adobe AIR. Un atacante podría aprovechar este problema para lograr la ejecución de código arbitrario. Se recomienda a los usuarios de Adobe AIR actualizar a la versión 22.0.0.153 disponible desde: http://get.adobe.com/air/ Adobe AIR SDK & Compiler: http://www.adobe.com/devnet/air/air-sdk-download.html Más información: Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb16-18.html Security update available for the Adobe DNG Software Development Kit (SDK) https://helpx.adobe.com/security/products/dng-sdk/apsb16-19.html Security update available for Adobe Brackets https://helpx.adobe.com/security/products/brackets/apsb16-20.html Security update available for the Creative Cloud Desktop Application https://helpx.adobe.com/security/products/creative-cloud/apsb16-21.html Security Update: Hotfixes available for ColdFusion https://helpx.adobe.com/security/products/coldfusion/apsb16-22.html Security update available for Adobe AIR https://helpx.adobe.com/security/products/air/apsb16-23.html Security Advisory for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsa16-03.html Microsoft Security Bulletin MS16-083 - Critical Security Update for Adobe Flash Player (3167685) https://technet.microsoft.com/library/security/MS16-083 Antonio Ropero anton...@hispasec.com Twitter: @aropero * ----- End forwarded message ----- -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
