Fecha de lanzamiento: 13 de octubre de 2009
Identificador de vulnerabilidad: APSB09-15
CVE number: CVE-2007-0048, CVE-2007-0045, CVE-2009-2564, CVE-2009-2979, CVE-2009-2980, CVE-2009-2981, CVE-2009-2982, CVE-2009-2983, CVE-2009-2984, CVE-2009-2985, CVE-2009-2986, CVE-2009-2987, CVE-2009-2988, CVE-2009-2989, CVE-2009-2990, CVE-2009-2991, CVE-2009-2992, CVE-2009-2993, CVE-2009-2994, CVE-2009-2995, CVE-2009-2996, CVE-2009-2997, CVE-2009-2998, CVE-2009-3431, CVE-2009-3458, CVE-2009-3459, CVE-2009-3460, CVE-2009-3461, CVE-2009-3462
Plataforma: todas
Se han identificado vulnerabilidades graves en Adobe Reader 9.1.3 y Acrobat 9.1.3, Adobe Reader 8.1.6 y Acrobat 8.1.6 para Windows, Macintosh y UNIX, y en Adobe Reader 7.1.3 y Acrobat 7.1.3 para Windows y Macintosh. Estas vulnerabilidades podrían bloquear la aplicación y permitir que un intruso se hiciera con el control del sistema afectado. Esta actualización supone la segunda actualización de seguridad trimestral para Adobe Reader y Acrobat.
Adobe recomienda que los usuarios de Adobe Reader 9.1.3 y Acrobat 9.1.3 y de versiones anteriores actualicen a Adobe Reader 9.2 y Acrobat 9.2. Adobe recomienda que los usuarios de Acrobat 8.1.6 y de versiones anteriores actualicen a Acrobat 8.1.7 y que los usuarios de Acrobat 7.1.3 y de versiones anteriores actualicen a Acrobat 7.1.4. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.2, Adobe ha proporcionado las actualizaciones de Adobe Reader 8.1.7 y Adobe Reader 7.1.4. Las actualizaciones se aplican a todas las plataformas: Windows, Macintosh y UNIX.
Adobe Reader 9.1.3 y versiones anteriores para Windows, Macintosh y UNIX
Adobe Acrobat 9.1.3 y versiones anteriores para Windows y Macintosh
Adobe Reader
Los usuarios de Adobe Reader en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*.
Los usuarios de Adobe Reader en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*.
Los usuarios de Adobe Reader en UNIX pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix*.
Acrobat
Los usuarios de Acrobat Standard y Pro en Windows pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*.
Los usuarios de Acrobat Pro Extended en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows*
Los usuarios de Acrobat 3D en Windows pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*.
Los usuarios de Acrobat Pro en Macintosh pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*.
Adobe lo define como una actualización fundamental.
Se han identificado vulnerabilidades graves en Adobe Reader 9.1.3 y Acrobat 9.1.3, Adobe Reader 8.1.6 y Acrobat 8.1.6 para Windows, Macintosh y UNIX, y en Adobe Reader 7.1.3 y Acrobat 7.1.3 para Windows y Macintosh. Estas vulnerabilidades podrían bloquear la aplicación y permitir que un intruso se hiciera con el control del sistema afectado. Esta actualización representa la segunda actualización de seguridad trimestral para Adobe Reader y Acrobat.
Adobe recomienda que los usuarios de Adobe Reader 9.1.3 y Acrobat 9.1.3 y de versiones anteriores actualicen a Adobe Reader 9.2 y Acrobat 9.2. Adobe recomienda que los usuarios de Acrobat 8.1.6 y de versiones anteriores actualicen a Acrobat 8.1.7 y que los usuarios de Acrobat 7.1.3 y de versiones anteriores actualicen a Acrobat 7.1.4. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.2, Adobe ha proporcionado las actualizaciones de Adobe Reader 8.1.7 y Adobe Reader 7.1.4. Las actualizaciones se aplican a todas las plataformas: Windows, Macintosh y UNIX.
Esta actualización soluciona la vulnerabilidad de desbordamiento de montículo que podría dar lugar a la ejecución del código (CVE-2009-3459).
NOTA: existen informes que señalan que se está explotando esta vulnerabilidad libremente, mediante ataques limitados con objetivos fijos.
Esta actualización soluciona un problema de vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución del código (CVE-2009-2985).
Esta actualización soluciona varios tipos de vulnerabilidad de desbordamiento de montículo que podría dar lugar a la ejecución del código (CVE-2009-2986).
Esta actualización soluciona un problema con un índice de matriz no válido que podría dar lugar a la ejecución del código (CVE-2009-2990).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de explotación remota específico del plug-in para Mozilla que podría permitir que alguien lo atacara para ejecutar código arbitrario con los privilegios del usuario actual (CVE-2009-2991).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 8.1.7.
Esta actualización soluciona varios tipos de vulnerabilidad de validación de entradas que podría dar lugar a la ejecución del código (CVE-2009-2993).
Esta actualización soluciona la vulnerabilidad de desbordamiento del búfer que podría dar lugar a la ejecución del código (CVE-2009-2994).
Esta actualización soluciona la vulnerabilidad de desbordamiento de montículo que podría dar lugar a la ejecución del código (CVE-2009-2997).
Esta actualización soluciona la vulnerabilidad de validación de entradas que podría dar lugar a la ejecución del código (CVE-2009-2998).
Esta actualización soluciona la vulnerabilidad de validación de entradas que podría dar lugar a la ejecución del código (CVE-2009-3458).
Esta actualización soluciona un problema de corrupción de memoria que podría dar lugar a la ejecución del código. Este problema es específico de Acrobat y no afecta a Adobe Reader. (CVE-2009-3460).
NOTA: este problema se soluciona con las actualizaciones de Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un desbordamiento de valores enteros que podría dar lugar a la ejecución del código. Este problema es específico de Acrobat y no afecta a Adobe Reader. (CVE-2009-2989).
NOTA: este problema se soluciona con las actualizaciones de Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de corrupción de memoria que da lugar a una denegación de servicio (DoS); la ejecución del código arbitrario no se ha demostrado, pero es posible (CVE-2009-2983).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de desbordamiento de valores enteros que da lugar a una denegación de servicio (DoS); la ejecución del código arbitrario no se ha demostrado, pero es posible (CVE-2009-2980).
Esta actualización soluciona un problema de corrupción de memoria que da lugar a una denegación de servicio (DoS); la ejecución del código arbitrario no se ha demostrado, pero es posible (CVE-2009-2996).
Esta actualización resuelve un problema de formato que se produce únicamente en Unix cuando se ejecuta el modo de depuración que podría dar lugar a la ejecución del código arbitrario (CVE-2009-3462).
Esta actualización resuelve un problema de descodificación de imágenes que da lugar a una denegación de servicio (DoS); la ejecución del código arbitrario no se ha demostrado, pero es posible. Este problema es específico de Acrobat y no afecta a Adobe Reader. (CVE-2009-2984).
NOTA: este problema se soluciona en la actualización de Acrobat 9.2
Esta actualización soluciona un problema de validación de entradas que podría dar lugar a que se evitaran las restricciones del Administrador de confianza (CVE-2009-2981).
Esta actualización soluciona un problema que podría permitir que un usuario malintencionado evitara los controles de seguridad de extensiones de archivos. Este problema es específico de Acrobat 9.X. (CVE-2009-3461).
Esta actualización modifica un certificado que, de verse comprometido, podría ser utilizado para ataques de ingeniería social (CVE-2009-2982).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de desbordamiento de pila que podría dar lugar a un ataque de denegación de servicio (DoS) (CVE-2009-3431).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de expansión de entidades XMP-XML que podría dar lugar a un ataque de denegación de servicio (DoS) (CVE-2009-2979).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un problema de denegación de servicio remoto en el control ActiveX específico del SO Windows (CVE-2009-2987).
Esta actualización soluciona un problema de validación de entradas que podría dar a un problema de denegación del servicio (DoS) (CVE-2009-2988).
Esta actualización soluciona un problema de validación de entradas específico del control ActiveX que podría dar lugar a un ataque de denegación de servicio (DoS) (CVE-2009-2992).
NOTA: este problema se soluciona con las actualizaciones de Adobe Reader y Acrobat 9.2 y 8.1.7.
Esta actualización soluciona un desbordamiento de valores enteros que da lugar a una denegación de servicio (DoS). Este problema es específico de Acrobat y no afecta a Adobe Reader. (CVE-2009-2995).
Esta actualización soluciona un problema con un producto de descarga en Internet de terceros que utiliza Adobe Reader que podría dar lugar a una ampliación de privilegios locales (CVE-2009-2564).
Esta actualización soluciona un problema de ataques potenciales de secuencias de comandos cuando se utiliza el plug-in para navegadores con los navegadores Google Chrome y Opera (CVE-2007-0048, CVE-2007-0045)
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar de estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
13 de octubre de 2009 - Boletín actualizado con detalles
8 de octubre de 2008 - Publicación de recomendaciones
