Boletín de seguridad de Adobe

Actualización de seguridad disponible para la aplicación de escritorio de Creative Cloud

Fecha de publicación: 14 de junio de 2016

Identificador de vulnerabilidad: APSB16-21

Prioridad: 3

Número CVE: CVE-2016-4157, CVE-2016-4158

Plataforma: Windows

Resumen

Adobe ha publicado una actualización de seguridad de la aplicación de escritorio de Creative Cloud para Windows. Esta actualización soluciona una vulnerabilidad de ruta de búsqueda no fiable en el instalador de la aplicación de escritorio de Creative Cloud y una vulnerabilidad de enumeración de ruta del servicio sin comillas en la aplicación de escritorio de Creative Cloud.

Versiones afectadas

Producto Versión afectada Plataforma
Aplicación de escritorio de Creative Cloud Creative Cloud 3.6.0.248 y versiones anteriores Windows

Solución

Adobe categoriza esta actualización de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión actualizada Plataforma Nivel de prioridad
Aplicación de escritorio de Creative Cloud Creative Cloud 3.7.0.272 Windows  3

El instalador de Creative Cloud 3.7.0.272 estará disponible a partir del 13 de junio de 2016. Para obtener más información, acceda a la página https://www.adobe.com/es/creativecloud/desktop-app.html.

Para entornos administrados, los administradores de TI pueden utilizar Creative Cloud Packager para crear paquetes de implementación tal y como se describe en el flujo de trabajo disponible en esta página.

Consulte esta página de ayuda para obtener más información sobre Creative Cloud Packager.

Detalles sobre la vulnerabilidad

  • Esta actualización soluciona una vulnerabilidad en la ruta de búsqueda del directorio utilizada para encontrar recursos que podrían producir la ejecución de código (CVE-2016-4157). 
  • Esta actualización soluciona una vulnerabilidad de enumeración de ruta del servicio sin comillas en la aplicación de escritorio de Creative Cloud (CVE-2016-4158).

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • YoKo Kho y Dicky (@dickysOfficial) de MII - Departamento de comunicación (CVE-2016-4157).
  • Cyril Vallicari / Ug_0 Security y el equipo de seguridad de Netservice de Toekomst (CVE-2016-4158).