INTECO - Seguridad, INTECO-CERT, Actualidad, Avisos de seguridad técnicos

Encuesta de Calidad de INTECO-CERT

1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
- Si
- No
2.- ¿Dicha información le ha resultado útil / interesante? *
- Si
- No
3.- Sugerencias / Quejas Límite 1024 caracteres.

Detalle de aviso de seguridad para usuarios técnicos

Actualizaciones de seguridad para Adobe Reader y Acrobat

Importancia: 4 - Alta

Fecha de publicación: 20/08/2010

Recursos afectados

Adobe Reader 9.3.3 y anteriores versiones en Windows, Macintosh y UNIX
Adobe Acrobat 9.3.3 y anteriores versiones en Windows y Macintosh
Adobe Reader 8.2.3/Adobe Acrobat 8.2.3 y anteriores versiones en Windows y Macintosh

Descripción

Adobe ha publicado varias actualizaciones para sus productos Reader y Acrobat que solucionan diversas vulnerabilidades críticas, siendo una de ellas (CVE-2010-2862) descrita en profundidad este año en las conferencias de seguridad Black Hat y que permiten a un atacante tomar el control del equipo afectado.

Estas actualizaciones incorporan la actualización de Adobe Flash Player como se indica en el boletín de seguridad APSB10-16.

Solución

Para actualizar las aplicaciones afectadas se puede hacer uso de la función de actualización automática de las mismas. La configuración por defecto de dichas aplicaciones realizan actualizaciones automáticas de forma regular pero puede activarse manualmente seleccionando Ayuda> Buscar actualizaciones.

Adobe Reader

Los usuarios de Adobe Reader para equipos Windows también pueden bajar e instalar la actualización correspondiente.
Los usuarios de Adobe Reader para equipos Macintosh también pueden bajar e instalar la actualización correspondiente.
Los usuarios de Adobe Reader para equipos Unix también pueden bajar e instalar la actualización correspondiente.

Adobe Acrobat

Los usuarios de Acrobat Standard y Pro para equipos Windows también pueden bajar e instalar la actualización correspondiente.
Los usuarios de Acrobat Pro Extended para equipos Windows también pueden bajar e instalar la actualización These updates incorporate the Adobe Flash Player update as noted in Security Bulletin APSB10-16.correspondiente.
Los usuarios de Acrobat 3D para equipos Windows también pueden bajar e instalar la actualización correspondiente.
Los usuarios de Acrobat Pro para equipos Macintosh también pueden bajar e instalar la actualización correspondiente.

Detalle

Como se observa a continuación, las vulnerabilidades que solucionan estas actualizaciones permiten la ejecución de código a través de diversos métodos:

CVE-2010-2862: Vulnerabilidad de desbordamiento de entero que podría dar lugar a la ejecución de código
CVE-2010-1240: Ataque mediante ingeniería social que podría dar lugar a ejecución de código

La explotación por tanto de las vulnerabilidades descritas anteriormente podrían derivar en la ejecución de código siendo posible en algunos casos la toma de control del equipo por parte de un atacante

En este momento algunas de las vulnerabilidades sólo son candidatas y están publicadas por el MITRE, cuando sean firmes los CVE y se publiquen en el NIST, INTECO-CERT las traducirá a castellano y las podrán consultar en nuestra base de datos de vulnerabilidades.