Fecha de publicación: 9 de diciembre de 2014
Identificador de vulnerabilidad: APSB14-28
Prioridad: Consulta la tabla que aparece a continuación
Números CVE: CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Plataforma: Windows y Macintosh
Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado. Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:
- Los usuarios de Adobe Reader XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
- Los usuarios de Adobe Reader X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
- Los usuarios de Adobe Acrobat XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
- Los usuarios de Adobe Acrobat X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
- Adobe Reader XI (11.0.09) y versiones 11.x anteriores
- Adobe Reader X (10.1.12) y versiones 10.x anteriores
- Adobe Acrobat XI (11.0.09) y versiones 11.x anteriores
- Adobe Acrobat X (10.1.12) y versiones 10.x anteriores
Adobe recomienda que los usuarios actualicen las instalaciones de software siguiendo las instrucciones que se ofrecen a continuación:
Adobe Reader
El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.
Los usuarios de Adobe Reader en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Los usuarios de Adobe Reader en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
El mecanismo de actualización predeterminado del producto establece que se realicen comprobaciones de actualizaciones automáticas de forma periódica. Las comprobaciones de actualizaciones pueden activarse manualmente seleccionando Ayuda > Buscar actualizaciones.
Los usuarios de Acrobat Standard y Pro en Windows pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Los usuarios de Acrobat Pro en Macintosh pueden encontrar la actualización adecuada aquí: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Estas actualizaciones solucionan vulnerabilidades críticas del software.
Adobe ha publicado actualizaciones de seguridad para Adobe Reader y Acrobat para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades que podrían permitir que un intruso se hiciera con el control del sistema afectado. Adobe recomienda que los usuarios actualicen las instalaciones de los productos a las últimas versiones:
- Los usuarios de Adobe Reader XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
- Los usuarios de Adobe Reader X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
- Los usuarios de Adobe Acrobat XI (11.0.09) y versiones anteriores deben actualizar a la versión 11.0.10.
- Los usuarios de Adobe Acrobat X (10.1.12) y versiones anteriores deben actualizar a la versión 10.1.13.
Estas actualizaciones solucionan vulnerabilidades de uso posterior a su liberación que podrían provocar la ejecución de código (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Estas actualizaciones solucionan vulnerabilidades de desbordamiento de búfer basado en pilas que podrían provocar la ejecución de código (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Estas actualizaciones solucionan una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código (CVE-2014-8449).
Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar la ejecución de código (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Estas actualizaciones solucionan una condición de carrera de hora de comprobación/hora de uso (TOCTOU) que se podría aprovechar para permitir un acceso de escritura arbitrario al sistema de archivos (CVE-2014-9150).
Estas actualizaciones solucionan una implementación incorrecta de una API de JavaScript que podría provocar la divulgación de información (CVE-2014-8448, CVE-2014-8451).
Estas actualizaciones solucionan una vulnerabilidad en la gestión de entidades XML externas que podría provocar la divulgación de información (CVE-2014-8452).
Estas actualizaciones solucionan vulnerabilidades que se podrían aprovechar para evitar la política del mismo origen (CVE-2014-8453).
Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Alex Inführ, de Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari, de Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher y Dan Caselden, de FireEye (CVE-2014-8454)
- Jack Tang, de Trend Micro (CVE-2014-8447)
- James Forshaw, del equipo de Project Zero de Google (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk, del equipo de Project Zero de Google y Gynvael Coldwind, del equipo de seguridad de Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro, de Agile Security (CVE-2014-8449)
- Wei Lei y Wu Hongjun de la Universidad Tecnológica de Nanyang (CVE-2014-8445, CVE-2014-9165)