Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon 95 actualizaciones de seguridad para Adobe; 47 para Acrobat-Reader DC




A pesar de ser uno de los formatos más populares y utilizados en todo el mundo, muchos expertos llevan años alertando de los peligros de usar documentos en formato PDF por su grandes problemas con la seguridad. En 2009 el sistema de Adobe para leer estos documentos, Adobe Reader, ya fue considerado como "el 'software' más inseguro y 'hackeado' del año" y en este tiempo la cosa no ha cambiado mucho. La compañía acaba de anunciar una nueva múltiple actualización para sus programas Reader, Acrobat y Photoshop CC que tiene como objetivo corregir un total inmenso vulnerabilidades.






  • Adobe ha publicado actualizaciones de seguridad para Acrobat, Reader y Photoshop, muchas de ellas soluciones importantes.

Adobe lanzó actualizaciones de seguridad para tres de sus productos el martes, incluidas 95 correcciones para Acrobat, Reader y ColdFusion.




Vulnerabilidad crítica en Adoble Flash Player, una vez más


Sin embargo, los usuarios tendrán que esperar hasta finales de esta semana para corregir una vulnerabilidad crítica que existe en Flash Player. Puede que solo sea una cuestión de tiempo hasta que la vulnerabilidad se explote públicamente; Adobe afirma que no tiene conocimiento de ningún exploits activo para el problema, pero tiene conocimiento de un informe de que existe un exploit para la vulnerabilidad, CVE-2016-4117


El día cero, desenterrado por Genwei Jiang, investigador de FireEye, existente en Flash 21.0.0.226 y versiones anteriores para Windows, Mac, Linux y Chrome OS, advirtió Adobe el martes. Si se explota, la vulnerabilidad podría causar un bloqueo y permitir que un atacante tome el control del sistema. Una solución para el problema no estaba lista a tiempo para enviarse con los parches del martes de parches de esta semana, pero la compañía afirma que planea abordar el problema más adelante en la semana, posiblemente tan pronto como el jueves.



Vulnerabilidades en Adobe Acrobat DC y Reader DC


Adobe Acrobat Reader es el lector de PDF más popular y rico en características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF. Como tal, engañar a un usuario para visitar una página web maliciosa o enviar un archivo adjunto de correo electrónico especialmente diseñado puede ser suficiente para desencadenar esta vulnerabilidad.

Un script JavaScript específico incrustado en un archivo PDF puede hacer que el campo ID de documento se use en una operación de copia ilimitada que conduce al desbordamiento de búfer basado en pila al abrir un documento PDF especialmente diseñado en Adobe Acrobat Reader DC 2018.009.20044. Este desbordamiento de pila puede llevar a la sobrescritura de dirección de retorno que puede dar como resultado la ejecución de código arbitrario. Para activar esta vulnerabilidad, la víctima debería abrir el archivo malicioso o acceder a una página web maliciosa.

En lo que respecta a los parches de hoy, 92 de los 95 problemas resueltos solucionan vulnerabilidades en Acrobat y Reader, la mayoría de los cuales son vulnerabilidades de uso después de la liberación o vulnerabilidades de corrupción de memoria que pueden llevar a la ejecución del código, advierte Adobe.



Un puñado de otras vulnerabilidades resueltas el martes, incluidos problemas en la ruta de búsqueda del directorio, una vulnerabilidad de desbordamiento de enteros y vulnerabilidades de desbordamiento del búfer del montón, también podrían llevar a la ejecución del código. Otras vulnerabilidades podrían llevar a la divulgación de información, la pérdida de memoria o la omisión de restricciones en la ejecución de la API de Javascript.

Si bien ninguna de las vulnerabilidades de Reader o Acrobat se están explotando activamente para el conocimiento de Adobe, la compañía todavía las ha calificado de críticas, ya que podrían permitir que un atacante tome el control de un sistema.

Se corrigieron tres vulnerabilidades en ColdFusion, incluidas las revisiones para la versión 10, 11 y la versión 2016. Las correcciones abordan un problema de validación de entrada que podría conducir a ataques de scripts de sitios cruzados (XSS), un problema de verificación de nombre de host con certificados de tarjeta salvaje y una actualización de Apache Commons para mitigar la deserialización de Java.

Los 95 parches marcan un serio repunte desde la última vez que Adobe actualizó Acrobat y Reader; cuando lanzó las actualizaciones en marzo, solo parcheó tres CVE combinadas entre los dos productos.




Actualización de emergencia para Adoble Flash


La compañía se vio obligada a emitir una actualización de emergencia para Flash el mes pasado después de que se descubriera una vulnerabilidad en la versión 21.0.0.197 y, finalmente, se incluyera en dos kits de exploits y se usara para vender ransomware.

Adobe: dos errores críticos de seguridad de Flash corregidos por el precio de uno

Photoshop, mientras tanto, se ha actualizado para parchear sobre CVE-2018-4946, un error de ejecución de código remoto debido a un error de escritura fuera de límites. El descubrimiento de la falla se atribuyó al investigador Giwan Go, quien lo informó a través de la iniciativa Zero Day de Trend Micro.


Quienes ejecuten Photoshop CC 2018 (tanto las versiones de Mac como de Windows) querrán instalar las versiones 19.1.4, mientras que aquellos que usen Photoshop CC 2017 querrán descargar la versión 18.1.4.

Esta última actualización de Adobe se produce menos de una semana después de que el proveedor descarte otro lote programado de correcciones para que Flash coincida con Patch Tuesday. Esa actualización también incluyó actualizaciones para Creative Cloud en Mac y Windows.


Fuentes:
https://www.theregister.co.uk/2018/05/14/adobe_critical_fixes/
https://threatpost.com/adobe-warns-of-flash-zero-day-patches-acrobat-reader/117981/

Traducciones:
https://www.elconfidencial.com/tecnologia/2018-05-16/adobe-pdf-fallo-seguridad-reader-acrobat-photoshop_1564297/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.