Fecha de publicación: 12 de abril de 2016

Identificador de vulnerabilidad: APSB16-11

Prioridad: 2

Número CVE: CVE-2016-1034

Plataforma: Windows y Macintosh

Resumen

Adobe ha publicado una actualización de seguridad de la aplicación de escritorio de Creative Cloud para Windows y Macintosh.  Esta actualización soluciona una vulnerabilidad importante en el proceso de sincronización de las bibliotecas de Creative Cloud que podría utilizarse para leer y escribir archivos de forma remota en el sistema de archivos del cliente.  

Versiones afectadas

Producto Versión afectada Plataforma
Aplicación de escritorio de Creative Cloud Creative Cloud 3.5.1.209 o versiones anteriores Windows y Macintosh

Solución

Adobe categoriza esta actualización de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión actualizada Plataforma Nivel de prioridad
Aplicación de escritorio de Creative Cloud Creative Cloud 3.6.0.244 Windows y Macintosh 2

Los usuarios de Creative Cloud pueden aplicar la actualización mediante el mecanismo de actualización de la aplicación. Para obtener más información, acceda a la página https://www.adobe.com/es/creativecloud/desktop-app.html.

Para entornos administrados, los administradores de TI pueden utilizar Creative Cloud Packager para crear paquetes de implementación tal y como se describe en el flujo de trabajo disponible en esta página.

Consulte esta página de ayuda para obtener más información sobre Creative Cloud Packager.

Detalles sobre la vulnerabilidad

Esta actualización soluciona una vulnerabilidad en la API de JavaScript de las bibliotecas de Creative Cloud que podría utilizarse para leer y escribir archivos de forma remota en el sistema de archivos del cliente (CVE-2016-1034).

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Divulgado de forma independiente por Roger Chen de la Universidad de California (Berkeley) y Lokihardt en colaboración con la ZDI de Trend Micro (CVE-2016-1034).