Actualización para múltiples productos Adobe, incluido Flash

Adobe ha publicado una actualización para nueve de sus productos. En esta ocasión los productos afectados son Adobe Animate, Adobe Flash Player, Adobe Experience Manager Forms, Adobe DNG Converter, Adobe Experience Manager, InDesign, ColdFusion Builder, Adobe Digital Editions y RoboHelp. En total se han solucionado 30 vulnerabilidades incluido un 0day en Flash Player.

Adobe Flash Player

Sin duda la actualización más importante es la de Adobe Flash Player. Para el que se ha publicado el boletín APSB16-39, destinado a solucionar 17 vulnerabilidades, entre las que se incluye un 0day. Todos los problemas, excepto uno, podrían permitir a un atacante tomar el control de los sistemas afectados.

Adobe reconoce que existe un exploit para una vulnerabilidad por uso de memoria después de liberarla, con CVE-2016-7892, que se está utilizando en la actualidad de forma activa en ataques dirigidos contra usuarios con Internet Explorer (32-bit) en Windows.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando siete vulnerabilidades de uso de memoria después de liberarla, cuatro desbordamientos de búfer y cinco de corrupción de memoria. Otra vulnerabilidad podría permitir evitar características de seguridad.

Los CVE asignados son: CVE-2016-7867 al CVE-2016-7881, CVE-2016-7890 y CVE-2016-7892.

De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicóel boletín MS16-154, para reflejar estas actualizaciones de Adobe Flash.

Adobe ha publicado la versión 24.0.0.186 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde
http://www.adobe.com/go/getflash

Adobe Animate

En el boletín APSB16-38se trata una vulnerabilidad de corrupción de memoria en Adobe Animate (CVE-2016-7866) para Windows o Macintosh.
Se recomienda actualizar a Adobe Animate 16.0.0.112 disponible desde:

Adobe Experience Manager

Adobe ha publicado actualizaciones para Adobe Experience Manager para resolver cuatro vulnerabilidades consideradas importantes. Tres cross-site scripting (CVE-2016-7882 al CVE-2016-7884) y un Cross-Site Request Forgery (CVE-2016-7885).

Se han publicado actualizaciones para las versiones 6.0, 6.1 y 6.2:
Adobe Experience Manager 6.0
Adobe Experience Manager 6.1
Adobe Experience Manager 6.2

Adobe Experience Manager Forms

Adobe ha publicado el boletín APSB16-40en el que informa de las actualizaciones para para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle.
Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0 y LiveCycle 11.0.1 y 10.0.4.

Las actualizaciones resuelven dos vulnerabilidades importantes de validación de entradas que podrían permitir la construcción de ataques de cross-site scripting (CVE-2016-6933 y CVE-2016-6934).

Se han publicado las siguientes actualizaciones:
Para Adobe Experience Manager Forms 6.2
Para Adobe Experience Manager Forms 6.1
Para Adobe Experience Manager Forms 6.0
Para LiveCycle 11.0.1
Para LiveCycle 10.0.4

Adobe DNG Converter

Adobe ha publicado una actualización de seguridad para Adobe DNG Converter para Windows y Macintosh, que resuelve una vulnerabilidad de corrupción de memoria considera crítica (CVE-2016-7856)

Se recomienda actualizar a Adobe DNG Converter 9.8 desde:

InDesign

En el boletín APSB16-43 Adobe publica actualizaciones para resolver una vulnerabilidad (CVE-2016-7886) de corrupción de memoria, considerada crítica, en InDesign para Windows y Macintosh.

Se recomienda actualizar a la versión 12.0.0 de InDesign e InDesign Server.

ColdFusion Builder

También ha publicado actualizaciones (APSB16-44) para resolver una vulnerabilidad importante en Adobe ColdFusion Builder para Windows, Linux y Macintosh. El problema podría permitir la obtención de información sensible (CVE-2016-7887).

Se recomienda actualizar a las versiones:
ColdFusion Builder 2016 Update 3
ColdFusion Builder 3.0 3.0.3 Hotfix

Adobe Digital Editions

También se han solucionado dos vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh y Android; un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks. (APSB16-45)

Se ha solucionado una vulnerabilidad que podría permitir la fuga de direcciones de memoria (CVE-2016-7888) y otro problema de fuga de información asociado con el tratamiento de entidades XML modificadas (CVE-2016-7889).

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.3 desde:
Para Windows y Macintosh:
Para Android:

RoboHelp

Por último, el boletín APSB16-46trata una actualización para solucionar una vulnerabilidad de cross-site scripting en RoboHelp para Windows (CVE-2016-7891).

Se recomienda actualizar a las versiones:
RoboHelp 2015.0.4
RoboHelp 11 (Hotfix)
Nota técnica:


Más información:

APSB16-38: Security update available for Adobe Animate

APSB16-39: Security updates available for Adobe Flash Player

APSB16-40: Security updates available for Adobe Experience Manager Forms

APSB16-41: Security update available for the Adobe DNG Converter

APSB16-42: Security updates available for Adobe Experience Manager

APSB16-43: Security updates available for InDesign

APSB16-44: Security update available for ColdFusion Builder

APSB16-45: Security update available for Adobe Digital Editions

APSB16-46: Security update available for RoboHelp



Antonio Ropero
Twitter: @aropero





Via: unaaldia.hispasec.com
Actualización para múltiples productos Adobe, incluido Flash Actualización para múltiples productos Adobe, incluido Flash Reviewed by Zion3R on 15:32 Rating: 5