Boletín de seguridad de Adobe

Fecha de publicación: 8 de diciembre de 2015

Última actualización: 3 de junio de 2016

Identificador de vulnerabilidad: APSB15-32

Prioridad: Consulta la tabla que aparece a continuación

Número CVE: CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Plataforma: Todas las plataformas

Adobe ha publicado actualizaciones de seguridad para Adobe Flash Player.  Estas actualizaciones solucionan vulnerabilidades importantes que podrían permitir que un intruso se hiciera con el control del sistema afectado.

• Para comprobar la versión de Adobe Flash Player instalada en tu sistema, accede a la página Acerca de Adobe Flash Player o haz clic derecho en cualquier contenido que se esté ejecutando con Flash Player y selecciona "Acerca de Adobe (o Macromedia) Flash Player" en el menú. Si utilizas varios navegadores, debes realizar esta comprobación en cada navegador que tengas instalado en el sistema.  
• Para comprobar la versión de Adobe AIR que tienes instalada en el sistema, sigue las instrucciones de la nota técnica de Adobe AIR.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

• Adobe recomienda que los usuarios del motor de ejecución de escritorio de Adobe Flash Player para Windows y Macintosh actualicen a la versión 20.0.0.228 (compatible con Internet Explorer) y a la versión 20.0.0.235 (compatible con Firefox y Safari), a la que pueden acceder a través del Centro de descargas de Adobe Flash Player o del mecanismo de actualización incluido en el producto cuando el sistema lo solicite [1].
• Adobe recomienda que los usuarios de la versión de compatibilidad extendida de Adobe Flash Player actualicen a la versión 18.0.0.268 a través de la página http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
• Adobe recomienda que los usuarios de Adobe Flash Player para Linux actualicen a la versión 11.2.202.554 de Adobe Flash Player, a la que pueden acceder a través del _esCentro de descargas de Adobe Flash Player.
• Adobe Flash Player instalado con Google Chrome se actualizará automáticamente a la versión más reciente de Google Chrome, que incluirá Adobe Flash Player 20.0.0.228 para Windows, Macintosh, Linux y Chrome OS.
• Adobe Flash Player instalado con Microsoft Edge e Internet Explorer para Windows 10 se actualizará automáticamente a la versión más reciente, que incluirá Adobe Flash Player 20.0.0.228. 
• Adobe Flash Player instalado con Internet Explorer para Windows 8.x se actualizará automáticamente a la versión más reciente, que incluirá Adobe Flash Player 20.0.0.228.
• Adobe recomienda que los usuarios del motor de ejecución de escritorio de AIR, AIR SDK y AIR SDK & Compiler actualicen a la versión 20.0.0.204 a través del Centro de descargas de AIR o del Centro de desarrolladores de AIR. 
• Accede a la página de ayuda de Flash Player para recibir asistencia para la instalación de Flash Player.

• Estas actualizaciones solucionan vulnerabilidades de desbordamiento de búfer basado en pilas que podrían provocar la ejecución de código (CVE-2015-8438 y CVE-2015-8446).
• Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar la ejecución de código(CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
• Estas actualizaciones solucionan vulnerabilidades de evasión de seguridad (CVE-2015-8453, CVE-2015-8440, CVE-2015-8409).
• Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de pila que podría provocar la ejecución de código (CVE-2015-8407, CVE-2015-8457).
• Estas actualizaciones solucionan un tipo de vulnerabilidad de confusión que podría provocar la ejecución del código (CVE-2015-8439, CVE-2015-8456).
• Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código (CVE-2015-8445).
• Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de búfer que podría provocar la ejecución de código (CVE-2015-8415)
• Estas actualizaciones solucionan vulnerabilidades de uso posterior a su liberación que podrían provocar la ejecución de código (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).
  

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes: 

• AbdulAziz Hariri de la iniciativa Zero Day Initiative de HP (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  
• Colaborador anónimo de la iniciativa Zero Day Initiative de HP (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655, CVE-2015-8823)
• bee13oy, que colabora con el programa Chromium Vulnerability Rewards Program (CVE-2015-8418)
• bilou, que colabora con la iniciativa Zero Day Initiative de HP (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445, CVE-2015-8439)
• Furugawa Nagisa, que colabora con la iniciativa Zero Day Initiative de HP (CVE-2015-8436)
• Hui Gao de Palo Alto Networks (CVE-2015-8443, CVE-2015-8444)
• intruso del centro de información sobre amenazas de seguridad de Alibaba (CVE-2015-8060, CVE-2015-8408, CVE-2015-8419)
• Jie Zeng, de Qihoo 360 (-8415, CVE-2015-, CVE-2015-8417)
• Jie Zeng de Qihoo 360 y colaborador anónimo de la iniciativa Zero Day Initiative de HP (CVE-2015-8416)
• LMX, de Qihoo 360 (CVE-2015-8451, CVE-2015-8452)
• Natalie Silvanovich del equipo de Project Zero de Google (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
• Nicolas Joly, de Microsoft Security (CVE-2015-8414, CVE-2015-8435)
• s3tm3m, que colabora con la iniciativa Zero Day Initiative de HP (CVE-2015-8457)
  
• VUPEN, que colabora con la iniciativa Zero Day Initiative de HP (CVE-2015-8453)
• willJ, de Tencent PC Manager (CVE-2015-8407)
• Yuki Chen, de Qihoo 360 Vulcan Team (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8441)

8 de diciembre de 2015: se han eliminado CVE-2015-8051, CVE-2015-8052 y CVE-2015-8053 (todas se habían asignado con anterioridad).  Se han añadido CVE-2015-8418 (sustituye a CVE-2015-8051), CVE-2015-8454 (sustituye a CVE-2015-8052) y CVE-2015-8455 (sustituye a CVE-2015-8053).  También se ha eliminado CVE-2015-8054, que se incluyó por error en el boletín original. 

9 de diciembre de 2015: se han añadido CVE-2015-8456 y CVE-2015-8457, que no se habían incluido en el boletín original. 

2 de marzo de 2016: se han añadido los siguientes CVE, que no se habían incluido en la versión original: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15 de abril de 2016: se ha añadido CVE-2015-8823, que no se había incluido en la versión original. 

3 de junio 2016: se ha añadido el agradecimiento al colaborador anónimo que trabaja en la iniciativa Zero Day Initiative de HP para CVE-2015-8416. Jie Zeng de Qihoo 360 también notificó esta CVE de forma independiente.