Para Flash Player, que actualmente se encuentra en su versión 26.0.0.151, se han corregido dos vulnerabilidades importantes que han llegado a las implementaciones para Windows, Mac, Linux y Chrome OS. Una (CVE-2017-3085) se trataba de un fallo que permitía filtrar información, mientras que la otra (CVE-2017-3106) era una confusión de tipos que abría la puerta a la ejecución de código en remoto.

La mala prensa que tiene Flash en términos de seguridad ha motivado a muchos usuarios a evitar su uso en lo máximo posible. Lejos de ser esto una costumbre de paranoicos o geeks, ha llegado hasta a ser implementada en Google Chrome. Los detractores de esta tecnología se habrán alegrado tras saber que Adobe tiene planeado ponerle fin en 2020.

69 vulnerabilidades han sido corregidas en las versiones 2017.009.20058, 2017.008.30051, 2015.006.30306 y anteriores de Reader y Acrobat  tanto para Windows como Mac. Algunas de las vulnerabilidades más importantes permitían a un hacker tomar el control del sistema afectado.

Como es lógico, la gran cantidad de fallos corregidos hace entrever que hay vulnerabilidades de todo tipo. Los parches publicados también van dirigidos a corrupciones de memoria, vulnerabilidades de usar después de liberar memoria, desbordamientos y confusiones de tipos. La compañía ha comentado que estas pueden ser explotadas para la ejecución de código en remoto y en algunos casos podrían llevar a una filtración de información.

Tres fallos de seguridad (CVE-2017-3108, CVE-2017-3107 y CVE-2017-3110), cuya gravedad varía entre moderada e importante, han sido corregidas en el producto de gestión de contenido empresarial Experience Manager. Fueron reportados de forma anónima y permitían a los atacantes filtrar información y ejecutar código arbitrario.

Otras nueve vulnerabilidades han sido corregidas en el lector de libros electrónicos Digital Editions en sus versiones para Windows, Mac, Android e iOS. Dos de los fallos (CVE-2017-11274 y CVE-2017-11272), que han sido marcado como críticos, abrían la puerta a la ejecución de código y al filtrado de información.

 

Fuente: Security Affairs | muyseguridad