int(5042)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Adobe Reader

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Adobe Reader <= 9.2

Descripción
Se han descubierto múltiples vulnerabilidades en Adobe Acrobat Reader 9.2. Las vulnerabilidades residen en errores en la implementación U3D y en el método Doc.media.newPlayer method en Multimedia.api.

Un atacante remoto podría ejecutar código arbitrario.

Solución


Actualización de software

Adobe (APSA10-02)
Adobe Reader 9.3
http://www.adobe.com/go/getreader

Red Hat (RHSA-2008:0037-1)
RHEL Desktop Supplementary (v. 5 cliente)
RHEL Supplementary (v. 5 servidor)
RHEL Supplementary EUS (v. 5.4.z servidor)
https://rhn.redhat.com/

Red Hat (RHSA-2010:0038-1)
Red Hat Enterprise Linux Extras (v. 4)
Red Hat Enterprise Linux Extras (v. 4.8.z)
https://rhn.redhat.com/

Red Hat (RHSA-2010:0060-1)
Red Hat Enterprise Linux Extras (v. 3)
https://rhn.redhat.com/

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux.

Identificadores estándar
Propiedad Valor
CVE CVE-2009-3953
CVE-2009-3954
CVE-2009-3955
CVE-2009-3956
CVE-2009-3957
CVE-2009-3958
CVE-2009-3959
BID

Recursos adicionales
Adobe Security Bulletin (APSB10-02)
http://www.adobe.com/support/security/bulletins/apsb10-02.html

Red Hat Security Advisory (RHSA-2008:0037-1)
https://rhn.redhat.com/errata/RHSA-2010-0037.html

Red Hat Security Advisory (RHSA-2008:0038-1)
https://rhn.redhat.com/errata/RHSA-2010-0038.html

Red Hat Security Advisory (RHSA-2010:0060-1)
https://rhn.redhat.com/errata/RHSA-2010-0060.html

SUSE Security Advisory (SUSE-SA:2010:008)
http://www.novell.com/linux/security/advisories/2010_08_acroread.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2010-01-15
1.1 Aviso emitido por Red Hat (RHSA-2010:0060-1) 2010-01-25
1.2 Aviso emitido por Suse (SUSE-SA:2010:008) 2010-01-29

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT