Boletines de Vulnerabilidades |
Actualización de Adobe Reader y Acrobat Abril 2012 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Ejecucion remota de codigo |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Adobe Reader y Acrobat X (10.1.2 y versiones anteriores) para Windows y Mac OS Adobe Reader y Acrobat 9.5 y versiones 9.x anteriores para Windows y Mac OS Adobe Reader 9.4.6 y versiones 9.x anteriores para Linux |
Descripción |
|
Adobe ha publicado sus actualizaciones trimestrales correspondientes al mes de enero de 2012, que incluyen 1 boletín de seguridad de nivel crítico (APSB12-08) que soluciona 6 vulnerabilidades que podrían permitir la ejecución de código arbitrario. APSB12-08: cuatro vulnerabilidades críticas en los productos Adobe Reader y Acrobat podrían provocar un cierre inesperado, y posiblemente permitir a un atacante comprometer el sistema afectado: - CVE-2012-0774: desbordamiento de entero en el tratamiento de fuentes True Type (TTF). - CVE-2012-0775: corrupción de memoria al tratamiento de JavaScript. - CVE-2012-0776: salto de restricciones de seguridad mediante el instalador de Adobe Reader. - CVE-2012-0777: corrupción de memoria en la interfaz de programación (API) de JavaScript. La actualización para las versiones 10.x de Adobe Reader y Acrobat, incluye las actualizaciones de Adobe Flash Player publicadas recientemente en los boletines APSB12-03, APSB12-05 y APSB12-07. Las versiones 9.x de Adobe Reader y Acrobat, han sido modificadas en esta nueva versión para utilizar la versión de Adobe Flash que esté instalada en el equipo, por lo que no necesitan incorporar las actualizaciones. La actualización para las versiones 9.x de Adobe Reader y Acrobat, desactiva por defecto la visualización de contenidos 3D a los archivos de tipo PDF, este tipo de contenido ha sido un vector de ataque utilizado habitualmente para la explotación de vulnerabilidades anteriores. En caso de abrir archivos con este tipo de contenido, el usuario deberá autorizar explícitamente el contenido 3D al abrir un archivo. |
|
Solución |
|
El producto, con su configuración por defecto, realiza comprobaciones de actualización automática y periódicamente. Si no aparece el aviso de actualización al inicio, se puede activar manualmente seleccionando la opción "Ayuda -> Buscar actualizaciones". Las actualizaciones publicadas pueden descargarse consultando el boletín de Adobe, donde se incluyen las direcciones de descarga directa de cada parche, y las instrucciones de instalación para cada producto. Se recomienda siempre que sea posible actualizar a la versión Adobe Reader X o Acrobat X (10.x), ya que esta versión incluye mecanismos de seguridad mejorados que dificultan la explotación de estas vulnerabilidades y las que puedan ser descubiertas en el futuro. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-0774 CVE-2012-0775 CVE-2012-0776 CVE-2012-0777 |
BID | |
Recursos adicionales |
|
Aviso de seguridad de Adobe APSB12-08 https://www.adobe.com/support/security/bulletins/apsb12-08.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-04-11 |