Boletines de Vulnerabilidades

int(6569)

Boletines de Vulnerabilidades

Boletines de Adobe Diciembre 2012
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	Adobe Flash Player 11.5.502.110, y versiones anteriores para sistemas Windows, Macintosh. Adobe Flash Player 11.2.202.251 y versiones anteriores para sistemas Linux. Adobe Flash Player 11.1.115.27 y versiones anteriores para Android 4.x. Adobe Flash Player 11.1.111.24 y versiones anteriores para Android 3.x y anteriores. Adobe AIR 3.5.0.600, y versiones anteriores para Windows, Macintosh, SDK (incluyendo AIR para iOS), y Android. ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX
Descripción
Adobe ha publicado dos boletines de seguridad con actualizaciones para solucionar varias vulnerabilidades por sus productos Flash Player y ColdFusion. Las vulnerabilidades por Flash son de nivel crítico y pueden ser aprovechadas para comprometer la máquina. - APSB12-26 (Coldfusion): Vulnerabilidad de salto de restricciones de seguridad (violación de permisos a la sandbox) en un entorno de alojamiento compartido (CVE-2012 hasta 5.675) - APSB12-27 (Flash Player): a) Vulnerabilidad de desbordamiento de búfer que podría permitir la ejecución de código de forma remota (CVE-2012-5676) b) Vulnerabilidad de desbordamiento de entero que podría permitir la ejecución de código de forma remota (CVE-2012-5677) c) Vulnerabilidad de corrupción de memoria que podría permitir la ejecución de código de forma remota (CVE-2012-5678)
Solución
Las versiones más recientes del producto con su configuración por defecto realizan comprobaciones de actualización de forma automática y periódicamente, instalan las nuevas versiones sin necesidad de intervención del usuario. También se puede activar la comprobación manualmente el Panel de Control-> Flash-> Pestaña Avanzado-> Comprobar ahora. La versión de Flash Player instalada con Google Chrome será actualizada automáticamente y no necesita ninguna acción del usuario. Se puede comprobar revisando que la versión de Flash instalada sea la 11.5.31.5 o posterior para Windows, Macintosh y Linux. También se puede comprobar mediante la página de gestión de plugins del navegador (escribir "about: plugins" o "chrome :/ / plugins" en la barra de direcciones). La versión de Flash Player instalada con Internet Explorer 10, se actualizará automáticamente con una nueva versión de Internet Explorer 10, que incluirá Adobe Flash Player 11.3.377.15 para Windows. En los dispositivos Android, la actualización se puede obtener mediante Google Play (anteriormente conocido como el Android Market). Si las notificaciones automáticas están desactivadas, la actualización se puede ejecutar accediendo a Google Play y seleccionando Menú-> Mis aplicaciones. Nota: aplicable sólo para dispositivos Android 3.xy 4.x con Flash Player instalado antes del 15 de agosto de 2012. Desde esa fecha, Adobe ha declarado que el reproductor Flash deja de estar soportado en el resto de dispositivos. Las actualizaciones publicadas pueden descargarse consultando el boletín de Adobe, donde se incluyen las direcciones de descarga directa de las nuevas versiones y las instrucciones de instalación para cada producto. Para los usuarios que no puedan actualizar a Flash Player 11.5, Adobe ha desarrollado una versión corregida de Flash Player 10.x, Flash Player 10.3.183.48, que se puede descargar desde la página del aviso de seguridad (ver Referencias).
Identificadores estándar
Propiedad	Valor
CVE	CVE-2012-5675 CVE-2012-5676 CVE-2012-5677 CVE-2012-5678
BID
Recursos adicionales
Aviso de seguridad de Adobe APSB12-26 http://www.adobe.com/support/security/bulletins/apsb12-26.html Aviso de seguridad de Adobe APSB12-27 http://www.adobe.com/support/security/bulletins/apsb12-27.html