Adobe corrige 83 vulnerabilidades en Acrobat, Reader y Flash

Adobe ha corregido 83 vulnerabilidades encontradas en los productos Acrobat, Reader y Flash (71 fueron halladas en los primeros productos), cuyos parches fueron lanzados el pasado martes. Destaca el parcheado de una gran cantidad de bugs críticos, los cuales podían permitir a un atacante tomar el control del sistema.

Según el boletín de seguridad publicado por Adobe el pasado martes, las actualizaciones más importantes para Acrobat y Reader corrigen vulnerabilidades de corrupción de memoria, uso después de liberación de memoria y desbordamiento de memoria, permitiendo todas estas la ejecución de código. Dos parches adicionales se encargan de corregir un salto en la restricción de la ejecución de la API de JavaSript y otro salto (o derivación) existente en la seguridad del propio software. Estas actualizaciones llegan a Acrobat DC y Reader DC correspondientes a la versión 15.006.30243 y a Acrobat XI y Reader XI correspondientes a la versión 11.0.18, abarcando tanto Windows como Mac.

Estos parches son los primeros que reciben Reader y Acrobat desde julio, cuando Adobe corrigió 38 problemas encontrados en esas dos aplicaciones. Por otro lado, este ha sido el mes en el que se han corregido la mayor cantidad de vulnerabilidades desde mayo, habiéndose corregido 93 en Reader y Acrobat en ese mes.

Cambiando de software, Adobe ha resuelto 12 vulnerabilidades que afectaban a las distintas versiones de Flash para Google Chrome, Microsoft Edge, Internet Explorer 11 y Linux. Al igual que para los bugs de Acrobat y Reader, la mayoría de los parches, 9 de 12, están dirigidos a corregir bugs de corrupción de memoria. Además, se ha corregido una vulnerabilidad que permitía saltarse la seguridad del software, una confusión de tipo y una vulnerabilidad de uso después de liberación de memoria. Sin embargo, en total suponen muchos menos que los 29 fallos parcheados el pasado mes.

Adobe también parcheó el pasado martes su aplicación para el escritorio Creative Cloud, que permite a los clientes de la compañía suscribirse a la plataforma Creative Cloud para manejar sus aplicaciones y servicios. La actualización resuelve una vulnerabilidad que se producía cuando se hacía una búsqueda con la ruta sin comillas en la aplicación. Las vulnerabilidades de rutas sin comillas generalmente se aprovechan de la manera en que el software analiza las rutas de directorio para ejecutar código. En este caso concreto, al ser explotada, la vulnerabilidad podía permitir el acceso a los recursos a un directorio padre dentro de la ruta y así sucesivamente, provocando una escalada de privilegios.

Por último, la compañía dice que no tiene constancia de que alguna de las vulnerabilidades haya sido explotada por hackers, aunque anima a los usuarios a actualizar cuanto antes.

Fuente | ThreadPost