Fecha de publicación: 8 de febrero de 2011
Identificador de vulnerabilidad: APSB11-01
Número CVE: CVE-2010-2587, CVE-2010-2588, CVE-2010-2589, CVE-2010-4092,
CVE-2010-4093, CVE-2010-4187, CVE-2010-4188, CVE-2010-4189, CVE-2010-4190,
CVE-2010-4191, CVE-2010-4192, CVE-2010-4193, CVE-2010-4194, CVE-2010-4195,
CVE-2010-4196, CVE-2010-4306, CVE-2010-4307, CVE-2011-0555, CVE-2011-0556,
CVE-2011-0557, CVE-2011-0569
Plataforma: Windows y Macintosh
Se han identificado vulnerabilidades importantes en Adobe Shockwave Player 11.5.9.615 y en versiones
anteriores en los sistemas operativos Windows y Macintosh. Estas vulnerabilidades podrían permitir que
un intruso que las supiera utilizar ejecutara código malintencionado en el sistema
afectado. Adobe recomienda a los usuarios de Adobe Shockwave Player 11.5.9.615 y versiones anteriores
que actualicen a Adobe Shockwave Player 11.5.9.620 siguiendo los pasos descritos a continuación.
Shockwave Player 11.5.9.615 y versiones anteriores para Windows y Macintosh
Adobe recomienda a los usuarios de Adobe Shockwave Player 11.5.9.615 y versiones anteriores que actualicen a
la versión más reciente, 11.5.9.620, que se puede obtener aquí: http://get.adobe.com/es/shockwave/.
Adobe considera que es una actualización fundamental y recomienda que los usuarios utilicen la versión más reciente al
instalar el producto siguiendo las instrucciones en la sección anterior "Solución".
Se han identificado vulnerabilidades importantes en Adobe Shockwave Player 11.5.9.615 y en versiones
anteriores en los sistemas operativos Windows y Macintosh. Estas vulnerabilidades podrían permitir que
un intruso que las supiera utilizar ejecutara código malintencionado en el sistema
afectado. Adobe recomienda a los usuarios de Adobe Shockwave Player 11.5.9.615 y versiones anteriores
que actualicen a Adobe Shockwave Player 11.5.9.620 siguiendo los pasos descritos anteriormente.
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo dirapi.dll que podría provocar
la ejecución del código (CVE-2010-2587).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo dirapi.dll que podría provocar
la ejecución del código (CVE-2010-2588).
Esta actualización soluciona una vulnerabilidad de desbordamiento de enteros en el módulo dirapi.dll que podría provocar
la ejecución del código (CVE-2010-2589).
Esta actualización soluciona una vulnerabilidad use-after-free (referencia no válida a un puntero) que podría provocar la ejecución del código
(CVE-2010-4092).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4093).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4187).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo dirapi.dll que podría provocar
la ejecución del código (CVE-2010-4188).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo IML32 que podría provocar
la ejecución del código (CVE-2010-4189).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4190).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4191).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4192).
Esta actualización soluciona una vulnerabilidad de validación de entradas que podría provocar la ejecución del código
(CVE-2010-4193).
Esta actualización soluciona una vulnerabilidad de validación de entradas en el módulo dirapi.dll que podría provocar
la ejecución del código (CVE-2010-4194).
Esta actualización soluciona una vulnerabilidad de validación de entradas en el módulo TextXtra que podría provocar
la ejecución del código (CVE-2010-4195).
Esta actualización soluciona una vulnerabilidad de validación de entradas en el módulo Shockwave 3d Asset que podría
provocar la ejecución del código (CVE-2010-4196).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2010-4306).
Esta actualización soluciona una vulnerabilidad de desbordamiento de memoria intermedia que podría provocar la ejecución del código
(CVE-2010-4307).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria que podría provocar la ejecución del código
(CVE-2011-0555).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo Font Xtra.x32 que podría
provocar la ejecución del código (CVE-2011-0556).
Esta actualización soluciona una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución del código
(CVE-2011-0557).
Esta actualización soluciona una vulnerabilidad de corrupción de memoria en el módulo Font Xtra.x32 que podría
provocar la ejecución del código (CVE-2011-0569).
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar sobre
estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger a nuestros clientes:
• Carsten Eiram, de Secunia Research (CVE-2010-2587, CVE-2010-2588, CVE-2010-2589).
• Krystian Kloskowski (h07), que trabaja con Secunia Research (CVE-2010-4092).
• Will Dormann, de CERT/CC (CVE-2010-4093, CVE-2010-4193, CVE-2010-4194,
CVE-2010-4195, CVE-2010-4196).
• Andrzej Dyjak, de iDefense Labs (CVE-2010-4187).
• Aaron Portnoy y Logan Brown, de TippingPoint DVLabs (CVE-2010-4188).
• Logan Brown de Aaron Portnoy, de TippingPoint DVLabs(CVE-2011-0555,
CVE-2011-0556).
• Aaron Portnoy y Logan Brown, de TippingPoint DVLabs (CVE-2010-4189).
• Aniway y Luigi Auriemma, a través de Zero Day Initiative de TippingPoint
(CVE-2010-4190).
• Un investigador anónimo, a través de Zero Day Initiative de TippingPoint (CVE-2010-4191).
• Aniway a través de Zero Day Initiative de TippingPoint (CVE-2010-4192).
• IBM X-Force (CVE-2010-4306, CVE-2010-4307).
• Un investigador anónimo a través de Zero Day Initiative de TippingPoint (CVE-2011-0557).
• Logan Brown y Aaron Portnoy, de TippingPoint DVLabs, y Luigi Auriemma a través de Zero Day Initiative
de TippingPoint (CVE-2011-0569).
