Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad en productos Adobe Reader y Acrobat

Actualización de seguridad en productos Adobe Reader y Acrobat

Fecha de publicación: 
13/01/2010
Importancia: 
3 - Media
Recursos afectados: 
  • Adobe Reader 9.2 y versiones anteriores para Windows, Macintosh y UNIX.
  • Adobe Acrobat 9.2 y versiones anteriores para Windows, Macintosh y UNIX
  • Adobe Acrobat y Reader 8.1.7 y versiones anteriores para Windows y Macintosh.
Descripción: 

Adobe ha publicado una actualización de seguridad para Adobe Acrobat y Reader, que soluciona varias vulnerabilidades, algunas de carácter crítico como la reportada el 16 de diciembre del año pasado.

Impacto: 

Si un usuario no actualiza Adobe Acrobat y Reader, su sistema permanecerá vulnerable a los nuevos fallos detectados, por lo que correrá el riesgo de que estos productos se bloqueen y dejen de funcionar y, lo que es más grave, también será vulnerable a la ejecución remota de código por parte de una atacante.

Solución: 

Actualizar a las últimas versiones de los productos Adobe Reader que son la 9.3 y la 8.2 para aquellos usuarios de Windows o MAC OS que no puedan actualizar a la 9.3:

Actualizar a las últimas versiones de los productos Acrobat que son la 9.3 y la 8.2 para aquellos usuarios de Windows y MAC OS que no puedan actualizar a la 9.3:

Detalle: 

Con esta actualización también se solucionan varias vulnerabilidades que afectan a Adobe Reader y Acrobat y que están catalogadas como críticas:

  • CVE-2009-4324: Vulnerabilidad en Multimedia.api puede permitir la ejecución remota de código. Desde que se descubrió la vulnerabilidad , ésta empezó rápidamente a ser explotada activamente por atacantes que enviaban correos con PDFs especialmente manipulados.
  • CVE-2009-3953: salida de límite de array en el soporte de U3D, puede permitir la ejecución remota de código.
  • CVE-2009-3954: vulnerabilidad de carga de DLL en 3D puede permitir la ejecución arbitraria de código.
  • CVE-2009-3955: corrupción de memoria que puede permitir la ejecución de código.
  • CVE-2009-3956: inyección se secuencias de código cuando se cambia la Seguridad por defecto.
  • CVE-2009-3957: referencia a puntero nulo que puede permitir una denegación de servicio
  • CVE-2009-3958: desbordamiento del búfer en el Gestor de Descargas que puede permitir la ejecución de código.
  • CVE-2009-3959: desbordamiento de entero en el soporte de U3D puede permitir la ejecución de código.

En las próximas horas incluiremos estas vulnerabilidades en nuestra base de datos y podrán ser consultadas a través de nuestro buscador de vulnerabilidades o en la propia página del NIST.