Vulnerability Bulletins |
Boletines de Adobe Diciembre 2012 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Adobe Flash Player 11.5.502.110, y versiones anteriores para sistemas Windows, Macintosh. Adobe Flash Player 11.2.202.251 y versiones anteriores para sistemas Linux. Adobe Flash Player 11.1.115.27 y versiones anteriores para Android 4.x. Adobe Flash Player 11.1.111.24 y versiones anteriores para Android 3.x y anteriores. Adobe AIR 3.5.0.600, y versiones anteriores para Windows, Macintosh, SDK (incluyendo AIR para iOS), y Android. ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX |
Description |
|
|
Adobe ha publicado dos boletines de seguridad con actualizaciones para solucionar varias vulnerabilidades por sus productos Flash Player y ColdFusion. Las vulnerabilidades por Flash son de nivel crítico y pueden ser aprovechadas para comprometer la máquina. - APSB12-26 (Coldfusion): Vulnerabilidad de salto de restricciones de seguridad (violación de permisos a la sandbox) en un entorno de alojamiento compartido (CVE-2012 hasta 5.675) - APSB12-27 (Flash Player): a) Vulnerabilidad de desbordamiento de búfer que podría permitir la ejecución de código de forma remota (CVE-2012-5676) b) Vulnerabilidad de desbordamiento de entero que podría permitir la ejecución de código de forma remota (CVE-2012-5677) c) Vulnerabilidad de corrupción de memoria que podría permitir la ejecución de código de forma remota (CVE-2012-5678) |
|
Solution |
|
|
Las versiones más recientes del producto con su configuración por defecto realizan comprobaciones de actualización de forma automática y periódicamente, instalan las nuevas versiones sin necesidad de intervención del usuario. También se puede activar la comprobación manualmente el Panel de Control-> Flash-> Pestaña Avanzado-> Comprobar ahora. La versión de Flash Player instalada con Google Chrome será actualizada automáticamente y no necesita ninguna acción del usuario. Se puede comprobar revisando que la versión de Flash instalada sea la 11.5.31.5 o posterior para Windows, Macintosh y Linux. También se puede comprobar mediante la página de gestión de plugins del navegador (escribir "about: plugins" o "chrome :/ / plugins" en la barra de direcciones). La versión de Flash Player instalada con Internet Explorer 10, se actualizará automáticamente con una nueva versión de Internet Explorer 10, que incluirá Adobe Flash Player 11.3.377.15 para Windows. En los dispositivos Android, la actualización se puede obtener mediante Google Play (anteriormente conocido como el Android Market). Si las notificaciones automáticas están desactivadas, la actualización se puede ejecutar accediendo a Google Play y seleccionando Menú-> Mis aplicaciones. Nota: aplicable sólo para dispositivos Android 3.xy 4.x con Flash Player instalado antes del 15 de agosto de 2012. Desde esa fecha, Adobe ha declarado que el reproductor Flash deja de estar soportado en el resto de dispositivos. Las actualizaciones publicadas pueden descargarse consultando el boletín de Adobe, donde se incluyen las direcciones de descarga directa de las nuevas versiones y las instrucciones de instalación para cada producto. Para los usuarios que no puedan actualizar a Flash Player 11.5, Adobe ha desarrollado una versión corregida de Flash Player 10.x, Flash Player 10.3.183.48, que se puede descargar desde la página del aviso de seguridad (ver Referencias). |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2012-5675 CVE-2012-5676 CVE-2012-5677 CVE-2012-5678 |
| BID | |
Other resources |
|
|
Aviso de seguridad de Adobe APSB12-26 http://www.adobe.com/support/security/bulletins/apsb12-26.html Aviso de seguridad de Adobe APSB12-27 http://www.adobe.com/support/security/bulletins/apsb12-27.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-12-13 |