Fecha de lanzamiento: 5 de octubre de 2010
Identificador de vulnerabilidad: APSB10-21
Números CVE: CVE-2010-2883-, CVE-2010-2884, CVE-2010-2887, CVE-2010-2888,
CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3621,
CVE-2010-3622, CVE-2010-3623, CVE-2010-3624, CVE-2010-3625, CVE-2010-3626,
CVE-2010-3627, CVE-2010-3628, CVE-2010-3629, CVE-2010-3630, CVE-2010-3631,
CVE-2010-3632, CVE-2010-3656, CVE-2010-3657, CVE-2010-3658
Plataforma: todas las plataformas
Se han identificado vulnerabilidades graves en Adobe Reader 9.3.4 (y en versiones anteriores) para
Windows, Macintosh y UNIX, en Adobe Acrobat 9.3.4 (y en versiones anteriores) para Windows y
Macintosh, en Adobe Reader 8.2.4 (y en versiones anteriores) y en Adobe Acrobat 8.2.4 (y en versiones
anteriores) para Windows y Macintosh. Estas vulnerabilidades, incluidas CVE-2010-2883,
que aparece en la Recomendación de seguridad APSA10-02 y CVE-2010-2884 que aparece en
el Boletín de seguridad APSB10-22 de Adobe Flash Player, podrían bloquear la aplicación y permitir que
un intruso se hiciera con el control del sistema afectado.
Adobe recomienda a los usuarios de Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh
y UNIX que actualicen a Adobe Reader 9.4. (Para los usuarios de Adobe Reader en Windows y Macintosh,
que no puedan actualizar a Adobe Reader 9.4, Adobe ha proporcionado la actualización de Adobe Reader 8.2.5.)
Adobe recomienda a los usuarios de Adobe Acrobat 9.3.4 y versiones anteriores para Windows y
Macintosh que actualicen a Adobe Acrobat 9.4. Adobe recomienda a los usuarios de Adobe Acrobat 8.2.4 y
versiones anteriores para Windows y Macintosh que actualicen a Adobe Acrobat 8.2.5.
Tenga en cuenta que las actualizaciones del 5 de octubre de 2010 representan un lanzamiento acelerado de la próxima actualización
de seguridad trimestral programada originalmente para el 12 de octubre de 2010. Con esta programación acelerada, Adobe
no lanzará actualizaciones adicionales para Adobe Reader y Acrobat el 12 de octubre de 2010. Las siguientes
actualizaciones de seguridad trimestrales para Adobe Reader y Acrobat están programadas para el 8 de febrero de 2011.
Adobe recomienda a los usuarios que actualicen sus instalaciones de software mediante las siguientes instrucciones:
Adobe Reader
Los usuarios de Windows y Macintosh pueden utilizar el mecanismo de actualización de productos. La configuración
predeterminada se define para que ejecute comprobaciones automáticas en busca de actualizaciones de forma periódica y se puede activar
manualmente seleccionando Ayuda > Buscar actualizaciones.
Los usuarios de Adobe Reader en Windows también pueden encontrar la actualización adecuada aquí:
http://get.adobe.com/la/reader/.
Los usuarios de Adobe Reader en Macintosh también pueden encontrar la actualización adecuada aquí:
http://get.adobe.com/la/reader/.
Los usuarios de Adobe Reader en UNIX pueden encontrar la actualización adecuada aquí:*
ftp://ftp.adobe.com/pub/adobe/reader/unix/9.x/9.4.0.
*Nota: Adobe Reader 9.4 para UNIX estará disponible desde el Centro de descargas de Adobe Reader en
http://get.adobe.com/reader/ el 21 de octubre de 2010.
Adobe Acrobat
Los usuarios pueden utilizar el mecanismo de actualización del producto. La configuración predeterminada se define para que ejecute
comprobaciones automáticas en busca de actualizaciones de forma periódica y se puede activar manualmente seleccionando Ayuda >
Buscar actualizaciones.
Los usuarios de Acrobat Standard y Pro en Windows también pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Los usuarios de Acrobat Pro Extended en Windows también pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.
Los usuarios de Acrobat 3D en Windows también pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows.
Los usuarios de Acrobat Pro en Macintosh también pueden encontrar la actualización adecuada aquí:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe las categoriza como actualizaciones graves y recomienda que los usuarios realicen la actualización más reciente
de la instalación del producto siguiendo las instrucciones en la sección "Soluciones" mencionada anteriormente.
Se han identificado vulnerabilidades graves en Adobe Reader 9.3.4 (y en versiones anteriores) para
Windows, Macintosh y UNIX; en Adobe Acrobat 9.3.4 (y en versiones anteriores) para Windows y
Macintosh, en Adobe Reader 8.2.4 (y en versiones anteriores) y en Adobe Acrobat 8.2.4 (y en versiones
anteriores) para Windows y Macintosh. Estas vulnerabilidades, incluidas CVE-2010-2883,
que aparece en la Recomendación de seguridad APSA10-02 y CVE-2010-2884 que aparece en Adobe Flash
el Boletín de seguridad APSB10-22 de Adobe Flash Player, podrían bloquear la aplicación y permitir que
un intruso se hiciera con el control del sistema afectado.
Adobe recomienda a los usuarios de Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh
y UNIX que actualicen a Adobe Reader 9.4. (Para los usuarios de Adobe Reader en Windows y Macintosh,
que no puedan actualizar a Adobe Reader 9.4, Adobe ha proporcionado la actualización de Adobe Reader 8.2.5.)
Adobe recomienda a los usuarios de Adobe Acrobat 9.3.4 y versiones anteriores para Windows y
Macintosh que actualicen a Adobe Acrobat 9.4. Adobe recomienda a los usuarios de Adobe Acrobat 8.2.4 y
versiones anteriores para Windows y Macintosh que actualicen a Adobe Acrobat 8.2.5.
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de fuentes que podrían provocar la ejecución del
código (CVE-2010-2883).
Nota: algunos informes indican que este problema se está explotando activamente sin control.
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el componente authplay.dll que podría
provocar la ejecución del código (CVE-2010-2884).
Esta actualización soluciona varios problemas potenciales de ampliación de privilegios exclusivo de Linux (CVE-2010-2887).
Esta actualización soluciona varios errores de validación de entradas que podría provocar la ejecución del código (solo Windows
y ActiveX) (CVE-2010-2888).
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de fuentes que podrían provocar la ejecución del
código (CVE-2010-2889).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-2890).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3619).
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de imágenes que podría provocar la ejecución del
código (CVE-2010-3620).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3621).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3622).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(solo en la plataforma Macintosh) (CVE-2010-3623).
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de imágenes que podría provocar la ejecución del
código (solo en la plataforma Macintosh) (CVE-2010-3624).
Esta actualización soluciona un problema de vulnerabilidad en el procesador del protocolo de prefijo que podría provocar la ejecución del código
(CVE-2010-3625).
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de fuentes que podrían provocar la ejecución del
código (CVE-2010-3626).
Esta actualización soluciona una vulnerabilidad de validación de entradas que podría provocar la ejecución del código
(CVE-2010-3627).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3628).
Esta actualización soluciona una vulnerabilidad de validación de entradas de análisis de imágenes que podría provocar la ejecución del
código (CVE-2010-3629).
Esta actualización soluciona una vulnerabilidad de denegación del servicio; no se ha demostrado la ejecución
del código arbitrario, pero puede ser posible (CVE-2010-3630).
Esta actualización soluciona una vulnerabilidad de indización de matriz que podría provocar la ejecución del código
(solo en la plataforma Macintosh) (CVE-2010-3631).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3632).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-3658).
Esta actualización soluciona un problema de denegación de servicio (CVE-2010-3656).
Esta actualización soluciona un problema de denegación de servicio (CVE-2010-3657).
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar sobre
estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger a nuestros clientes:
- Informe elaborado por el equipo de solución de incidencias de Red Hat Security (CVE-2010-2887)
- Tavis Ormandy del equipo de seguridad de Google (CVE-2010-2888, CVE-2010-2889, CVE-2010-2890, CVE-2010-3619, CVE-2010-3620, CVE-2010-3626, CVE-2010-3658)
- Sebastian Apelt a través de Zero Day Initiative de TippingPoint (CVE-2010-3621, CVE-2010-3622)
- James Quirk de Los Álamos, Nuevo México (CVE-2010-3623)
- Felipe Andres Manzano a través de Global Vulnerability Partnership de iSIGHT Partners (CVE-2010-3624)
- Billy Rios del equipo de seguridad de Google (CVE-2010-3625)
- Ricardo Narvaja de Core Security Technologies (CVE-2010-3627)
- Bing Liu de FortiGuard Labs de Fortinet (CVE-2010-3628)
- Will Dormann de CERT (CVE-2010-3629)
- Brett Gervasoni de Sense of Security (CVE-2010-3630)
- Knud Erik Højgaard del equipo de investigación de vulnerabilidades de nSense (CVE-2010-3631)
- Un investigador anónimo a través de Zero day Initiative de TippingPoint (CVE-2010-3632)
