Adobe Patch de febrero soluciona 75 vulnerabilidades

19 Febrero 2019
Crítico

Adobe acaba de lanzar actualizaciones que solucionan 75 vulnerabilidades, de las cuales 71 corresponden a Acrobat y Reader, para Windows y MacOS. Otras se encuentran en Coldfusion, Creative Cloud Desktop Application y Flash Player para Windows, macOS, Linux y Chrome OS.

De los 71 fallos en Acrobat y Reader, 43 están calificados como críticos, pues su explotación exitosa podría llevar a la ejecución de código remoto (RCE) desde un usuario local.

Entre las soluciones del parche, se encuentran: una para un Zero Day en Adobe Reader, que podría permitir a un atacante remoto robar contraseñas de hash de Windows NTLM, engañando a las víctimas para que abran un PDF malicioso.

También corrige un fallo en FlashPlayer, debido a un error de lectura fuera de los límites que podría conducir a fuga de información. Hay dos críticos en ColdFusion -plataforma de desarrollo de apps web- que podrían permitir RCE y fuga de información. Y destaca uno importante de escalación de privilegios en la app de escritorio Creative Cloud 4.7.0.400 y versiones anteriores.

Adobe recomienda lo siguiente:

- Actualizar los softwares a las últimas versiones, lo antes posible, siguiendo la siguiente ruta: Ayuda> Buscar actualizaciones. Si el equipo detecta actualizaciones, éstas se realizarán automáticamente (el instalador completo de Reader se puede descargar desde el Centro de descarga de Acrobat).

- Descargar los instaladores de empresa de ftp://ftp.adobe.com/pub/adobe/ o consultar una versión específica para ver los enlaces a los instaladores.

- Instalar actualizaciones como AIP-GPO, bootstrapper y SCUP/SCCM en Windows; y Apple Remote Desktop y SSH, para macOS.

El listado de las CVE se adjunta a continuación:


Tags: #adobe #acrobat #reader #flash #pdf #ntlm #windows #rce #zeroday #macos #linux #chromeos


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.