Parches trimestrales de Adobe

(Por El Microsaurio) Hay para todos los gustos, cubren fallas de seguridad muy graves de Flash, Reader, Shockwave, Coldfusion y aplicaciones de servidor. Los chicos malos ya están enterados y vos tenés que prepararte. Revisá el material, informate y actualizate. Más te vale.

Habíamos comentado que el martes 14, por la lluvia de actualizaciones (entre Microsoft, Adobe y lo que llegó de Oracle/Java) era el arranque de una semana de trabajo pesado. Sobre los Boletines de Seguridad de la gente de Redmond, ya hemos comentado lo necesario; ahora vamos con las fallas de seguridad en productos de Adobe.
La prolija Wendy Poland, desde el PSIRT (Adobe Product Security Incident Response Team) informó la publicación de cinco boletines de seguridad, según este detalle:

• APSB11-14 – dedicado a ColdFusion, marcado como “Importante”
• APSB11-15 – sobre los productos LiveCycle Data Services, LiveCycle ES y BlazeDS, también “Importante”
• APSB11-16 – para Adobe Reader y Acrobat, este es “Crítico”
• APSB11-17 – el que soluciona fallas de Shockwave Player, es “Crítico”
• APSB11-18 – la actualización para Flash Player, y también es “Crítico”

Vamos al análisis de cada producto:

• ColdFusion: solucionan 2 vulnerabilidades, que afectan al producto que corre sobre Windows, Mac y Unixes varios. Tipo de ataque posible: Denegación de Servicio o suplantación en una sesión Web. Versiones afectadas: ColdFusion 9.0.1, 9.0, 8.0.1 y 8.0
• LiveCycle Data Services, LiveCycle ES y BlazeDS; también se cubren dos fallas de programación, que afectan a usuarios de Windows, Mac y Unixes varios, donde se incluyen Sun OS y AIX. Tipo de ataque posible: Denegación de Servicio o intrusión. Versiones afectadas: LiveCycle Data Services 3.1, 2.6.1, 2.5.1 y anteriores, LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 y anteriores, BlazeDS 4.0.1 y anteriores, implementadas sobre JBoss, WebLogic o WebSphere según corresponda
• Adobe Reader y Acrobat. Se solucionaron 13 fallas de programación que generan problemas de seguridad, y afectan a los productos instalados sobre Windows o Mac OS. Tipo de ataque posible: Denegación de Servicio (cuelgue del equipo) intrusión de un atacante, robo de información, ejecución de código a voluntad del atacante, producidas por varias formas de corrupción de memoria, entre las que hay una que afecta a usuarios de Mac solamente, ataques a DLL defectuosas. Versiones afectadas: Adobe Reader X (10.0.1) y anteriores para Windows, Reader X (10.0.3) y anteriores para Mac; Reader 9.4.4 y anteriores, Reader 8.2.6 y anteriores, para Windows y Mac, Adobe Acrobat X (10.0.3) y anteriores para Windows y Mac, Acrobat 9.4.4 y anteriores, Acrobat 8.2.6 y anteriores para Windows y Mac. Observación de la empresa: quienes descarguen esta actualización en Reader recibirán también la que corresponde a Flash y fue mencionada en los boletines de seguridad APSB11-12 y 11-13 (ya los comentamos la semana pasada)
• Shockwave Player: hackers varios informaron a la empresa sobre 24 vulnerabilidades que funcionan efectivamente en máquinas que empleen Windows o Mac como sistema operativo. Tipo de ataque posible: la vía es un archivo Shockwave convenientemente modificado, que aprovecha errores de programación en varios componentes; entre ellos, “dirapi.dll”, “IML32.dll” “Shockwave3DAsset”, “FLV ASSET Xtra”, “CursorAsset x32”, “3D Asset x32”. Versiones afectadas: Adobe Shockwave Player 11.5.9.620 y anteriores
• Flash Player: en este caso se soluciona una vulnerabilidad que afecta a cualquier PC y no importa qué sistema operativo emplee, ya que hay versiones de Flash para todos. Para los olvidadizos: sí, la Mac es una PC (personal computer). Además, puede afectar a supercelulares que puedan ejecutar Flash. Tipo de ataque posible: se hace a través de una página web que contiene código convenientemente preparado. Un incauto podría hacer clic a un link dentro de un email, o de un contenido de Messenger, o de una página de Facebook, o un mensaje en Twitter, o… uf, cualquier lugar donde se pueda poner un link. Resultado: como mínimo, se cuelga el equipo; en otros casos, el atacante toma el control de la PC o el superfonito o lo que sea que tenga Flash. Versiones afectadas: Flash Player 10.3.181.23 y anteriores para Windows, Mac, Linux y Solaris (así lo escribieron en el Boletín), y Flash Player 10.3.185.23 y anteriores para Android.

Alegría 1, para usuarios de Android: “Adobe espera publicar la actualización para Android antes del fin de la semana del 13 de junio de 2011” (Textual del Boletín correspondiente) ¿Vos la viste? Yo no. Tal vez llegue hoy.
Alegría 2, para usuarios varios: “si usted usa varios navegadores en su máquina, controle que se haya instalado una actualización para cada uno” (Textual del Boletín correspondiente) Eso es para los que tienen Internet Explorer, y metieron Firefox o Chrome, en la misma máquina. No vale creerse que porque actualicé uno se actualizó el otro, no es como cuando actualizo Java.
Alegría 3, para usuarios de Google Chrome: desde EEUU informó Lauren Winstein que aquellos que actualizan desde Reader 9.algo a Reader X (o “10”) y emplean el navegador que mencioné, podrían encontrarse con que esa actualización de Adobe Reader modificó las configuraciones de impresión de páginas web; en criollo, deshabilitó esa función, sin aviso y sin anestesia. Se puede modificar; si lo necesitan, chiflen y les posteo la traducción del procedimiento.
Alegría 4, para todos los usuarios: el próximo grupo trimestral de boletines de seguridad para Adobe Reader Y Acrobat, léase “actualización masiva de producto”, la programaron para el 13 de setiembre de este año. Lo cual, por supuesto, no tiene en cuenta el próximo ataque a Reader…
Buen fin de semana, entonces.