Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Reader y Acrobat

Fecha de publicación: 16 de septiembre de 2014

Identificador de vulnerabilidad: APSB14-20

Prioridad: Consulta la tabla que aparece a continuación

Números CVE: CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Plataforma: Windows y Macintosh

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado. Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:

  • Los usuarios de Adobe Reader XI (11.0.08) y versiones anteriores deben actualizar a la versión 11.0.09.
  • Para usuarios de Adobe Reader X (10.1.11) y versiones anteriores que no puedan actualizar a la versión 11.0.09, Adobe pone a su disposición la versión 10.1.12.
  • Los usuarios de Adobe Acrobat XI (11.0.08) y versiones anteriores deben actualizar a la versión 11.0.09.
  • Para usuarios de Adobe Acrobat X (10.1.11) y versiones anteriores que no puedan actualizar a la versión 11.0.09, Adobe pone a su disposición la versión 10.1.12.

Versiones de software afectadas

  • Adobe Reader XI (11.0.08) y versiones 11.x anteriores para Windows
  • Adobe Reader XI (11.0.07) y versiones 11.x anteriores para Macintosh
  • Adobe Reader X (10.1.11) y versiones anteriores de 10.x para Windows
  • Adobe Reader X (10.1.10) y versiones anteriores de 10.x para Macintosh
  • Adobe Acrobat XI (11.0.08) y versiones 11.x anteriores para Windows
  • Adobe Acrobat XI (11.0.07) y versiones 11.x anteriores para Macintosh
  • Adobe Acrobat (10.1.11) y versiones 10.x anteriores para Windows
  • Adobe Acrobat X (10.1.10) y versiones 10.x anteriores para Macintosh

Solución

Adobe recomienda que los usuarios actualicen las instalaciones de software siguiendo las instrucciones que se ofrecen a continuación:

Adobe Reader

El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.

Los usuarios de Adobe Reader en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Los usuarios de Adobe Reader en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.

Los usuarios de Acrobat Standard y Pro en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Los usuarios de Acrobat Pro en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Niveles de gravedad y prioridad

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión actualizada Plataforma Nivel de prioridad
Adobe Reader XI 11.0.09
Windows y Macintosh
1
Adobe Reader X 10.1.12
Windows y Macintosh 1
Adobe Acrobat XI 11.0.09
Windows y Macintosh
1
Adobe Acrobat X
10.1.12
Windows y Macintosh
1

Estas actualizaciones solucionan vulnerabilidades críticas del software.

Detalles

Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado. Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:

  • Los usuarios de Adobe Reader XI (11.0.08) y versiones anteriores deben actualizar a la versión 11.0.09.
  • Para usuarios de Adobe Reader X (10.1.11) y versiones anteriores que no puedan actualizar a la versión 11.0.09, Adobe pone a su disposición la versión 10.1.12.
  • Los usuarios de Adobe Acrobat XI (11.0.08) y versiones anteriores deben actualizar a la versión 11.0.09.
  • Para usuarios de Adobe Acrobat X (10.1.11) y versiones anteriores que no puedan actualizar a la versión 11.0.09, Adobe pone a su disposición la versión 10.1.12.

Estas actualizaciones solucionan una vulnerabilidad de uso posterior a su liberación que podría provocar la ejecución de código (CVE-2014-0560).

Estas actualizaciones solucionan una vulnerabilidad de ejecución universal de secuencias de comandos en sitios cruzados (UXSS) en Reader y Acrobat en la plataforma Macintosh (CVE-2014-0562).

Estas actualizaciones solucionan una posible vulnerabilidad de denegación de servicio (DoS) relacionada con daños de memoria (CVE-2014-0563).

Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de pila que podría provocar la ejecución de código (CVE-2014-0561, CVE-2014-0567).

Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar la ejecución de código (CVE-2014-0565, CVE-2014-0566).

Estas actualizaciones solucionan una vulnerabilidad de vulneración de zona protegida que se podría aprovechar para ejecutar código nativo con privilegios ampliados en Windows (CVE-2014-0568).

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Wei Lei y Wu Hongjun de la Universidad Tecnológica de Nanyang en colaboración con Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris, que colabora con la iniciativa Zero Day Initiative de HP (CVE-2014-0561)
  • Frans Rosen de Detectify (CVE-2014-0562)
  • Wei Lei y Wu Hongjun de la Universidad Tecnológica de Nanyang (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Notificado de forma anónima a través de la iniciativa Zero Day Initiative de HP (CVE-2014-0567)
  • James Forshaw del equipo de Project Zero de Google (CVE-2014-0568)