Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Reader y Acrobat

Fecha de publicación: 9 de diciembre de 2014

Identificador de vulnerabilidad: APSB14-28

Prioridad: Consulta la tabla que aparece a continuación

Números CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plataforma: Windows y Macintosh

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado.   Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:

  • Los usuarios de Adobe Reader XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
  • Los usuarios de Adobe Reader X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
  • Los usuarios de Adobe Acrobat XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
  • Los usuarios de Adobe Acrobat X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.

Versiones de software afectadas

  • Adobe Reader XI (11.0.09) y versiones 11.x anteriores
  • Adobe Reader X (10.1.12) y versiones 10.x anteriores
  • Adobe Acrobat XI (11.0.09) y versiones 11.x anteriores
  • Adobe Acrobat X (10.1.12) y versiones 10.x anteriores 

Solución

Adobe recomienda que los usuarios actualicen las instalaciones de software siguiendo las instrucciones que se ofrecen a continuación:

Adobe Reader

El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.

Los usuarios de Adobe Reader en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Los usuarios de Adobe Reader en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.

Los usuarios de Acrobat Standard y Pro en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Los usuarios de Acrobat Pro en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Niveles de gravedad y prioridad

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión actualizada Plataforma Nivel de prioridad
Adobe Reader 11.0.10
Windows y Macintosh
1
  10.1.13
Windows y Macintosh 1
       
Adobe Acrobat 11.0.10
Windows y Macintosh
1
  10.1.13
Windows y Macintosh
1

Estas actualizaciones solucionan vulnerabilidades críticas del software.

Detalles

Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado.   Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:

  • Los usuarios de Adobe Reader XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
  • Los usuarios de Adobe Reader X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
  • Los usuarios de Adobe Acrobat XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
  • Los usuarios de Adobe Acrobat X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.

Estas actualizaciones solucionan vulnerabilidades de uso posterior a su liberación que podrían provocar la ejecución de código (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Estas actualizaciones solucionan vulnerabilidades de desbordamiento de búfer basado en pilas que podrían provocar la ejecución de código (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código (CVE-2014-8449).

Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar la ejecución de código (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Estas actualizaciones solucionan una condición de carrera de hora de comprobación/hora de uso (TOCTOU) que se podría aprovechar para permitir un acceso de escritura arbitrario al sistema de archivos (CVE-2014-9150).

Estas actualizaciones solucionan una implementación incorrecta de una API de JavaScript que podría provocar la divulgación de información (CVE-2014-8448, CVE-2014-8451).

Estas actualizaciones solucionan una vulnerabilidad en la gestión de entidades XML externas que podría provocar la divulgación de información (CVE-2014-8452).

Estas actualizaciones solucionan vulnerabilidades que se podrían aprovechar para evitar la política del mismo origen (CVE-2014-8453).  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Alex Inführ, de Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari, de Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher y Dan Caselden, de FireEye (CVE-2014-8454)
  • Jack Tang, de Trend Micro (CVE-2014-8447)
  • James Forshaw, del equipo de Project Zero de Google (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk, del equipo de Project Zero de Google y Gynvael Coldwind, del equipo de seguridad de Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro, de Agile Security (CVE-2014-8449)
  • Wei Lei y Wu Hongjun de la Universidad Tecnológica de Nanyang (CVE-2014-8445, CVE-2014-9165)