Adobe corrige 7 fallas críticas y bloquea el contenido de Flash Player - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Adobe corrige 7 fallas críticas y bloquea el contenido de Flash Player

Hola otra vez. Yo soy Eduardo Arroyo y en esta ocasión te voy a contar sobre Adobe corrige 7 fallas críticas y bloquea el contenido de Flash Player

Adobe corrige 7 fallas críticas y bloquea el contenido de Flash Player

Adobe ha lanzado parches para siete fallas críticas en la ejecución de código arbitrario que afectan a los usuarios de Windows y MacOS.

Adobe Systems ha solucionado siete vulnerabilidades críticas que afectan a los usuarios de Windows, macOS y Linux. El impacto de los defectos graves va desde la ejecución de código arbitrario hasta la divulgación de información confidencial.

Las actualizaciones de seguridad programadas regularmente por la compañía de software los martes afectan una variedad de productos de software creativos y multimedia, desde Photoshop hasta Illustrator y Adobe Bridge.

Junto con la actualización de seguridad del martes, Adobe a partir del martes también bloqueará el contenido de Flash Player, semanas después de abandonar el soporte de Flash. Navegación significa que cuando los usuarios intentan cargar una página con Flash Player, el contenido ya no se cargará.

«Dado que Adobe ya no admitirá Flash Player después del 31 de diciembre de 2020 y Adobe bloqueará la ejecución del contenido Flash en Flash Player a partir del 12 de enero de 2021, Adobe recomienda encarecidamente que todos los usuarios desinstalen Flash Player de inmediato para proteger sus sistemas». , según Adobe.

Uno de los defectos críticos más graves (CVE-2021-21009) se ha corregido en Adobe Campaign Classic, la plataforma de gestión de campañas de marketing de Adobe.

«Estas actualizaciones se refieren a crítico Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría conducir a la divulgación de información confidencial «, según Adobe. SSRF es una falla basada en la web que permite a los atacantes engañar a la aplicación del lado del servidor para que realice solicitudes HTTP a un dominio arbitrario.

Varias versiones de Adobe Campaign Classic para usuarios de Windows y Linux se ven afectadas; un detalle completo de las versiones afectadas y las versiones parcheadas están disponibles aquí.

La falla tiene una calificación de actualización de «prioridad 2», lo que según Adobe significa que corrige vulnerabilidades en un producto que ha sido de «riesgo históricamente alto» pero para el cual no se conocen exploits actualmente.

«Basándonos en la experiencia anterior, no esperamos que los exploits sean inminentes», según Adobe. «Como práctica recomendada, Adobe recomienda que los administradores instalen la actualización pronto (por ejemplo, dentro de los 30 días)».

Tenga en cuenta que los parches restantes de Adobe, aunque críticos, son actualizaciones de «prioridad 3», dijo a Threatpost Chris Goettl, director senior de administración de productos y seguridad de Ivanti. De las tres prioridades, la «prioridad 1» es la más seria, mientras que la «prioridad 3» es la menos seria. Las actualizaciones de «Prioridad 3» corrigen defectos en un producto que históricamente no ha sido objetivo de atacantes.

«Dada esta guía, los administradores deberían buscar actualizar Adobe Campaign Classic en su mantenimiento mensual», dijo Goettl a Threatpost. «El resto de las actualizaciones deben evaluarse y actualizarse de manera razonable, ya que nunca se debe permitir que el software se estanque».

En Adobe La aplicación de edición de fotos insignia de Photoshop, la compañía abordó una vulnerabilidad de desbordamiento de búfer basada en montón de gravedad crítica (CVE-2021-21006). UN desbordamiento de búfer basado en montón es una clase de vulnerabilidad en la que la región de memoria de un proceso utilizado para almacenar variables dinámicas (el montón) puede verse abrumada. Si se explota, esta falla podría permitir la ejecución de código arbitrario.

El error afecta a Photoshop 2021 versión 22.1 y anteriores para Windows y macOS; los usuarios deben actualizar a la versión 22.1.1.

Aplicación de diseño Adobe Illustrator también tiene un defecto crítico (CVE-2021-21007) resultante de un elemento incontrolado del camino de la investigación. Esta categoría de vulnerabilidad se produce cuando una aplicación utiliza una ruta de búsqueda fija (o controlada) para encontrar recursos, pero una o más ubicaciones en la ruta están bajo el control de un atacante.

La falla, que podría permitir la ejecución de código arbitrario, existe en Illustrator 2020 para Windows y macOS versiones 25 y anteriores; la versión 25.1 contiene la corrección.

Adobe Bridge, la aplicación de gestión de activos digitales de Adobe, tenía vulnerabilidades críticas relacionadas con dos CVE, CVE-2021-21012 y CVE-2021-21013.

Estos errores son el resultado de problemas de escritura fuera de los límites, que son el resultado de operaciones de escritura que producen resultados no definidos o inesperados. Si se explotan, las fallas pueden llevar a la ejecución de código arbitrario.

Ambos defectos existen en Adobe Bridge versión 11 y anteriores para Windows; Se ha publicado una corrección en la versión 11.0.1.

Adobe también ha corregido fallas críticas en su Adobe Animate (CVE-2021-21008) y Adobe InCopy (CVE-2021-21010); así como una falla importante de gravedad en Adobe Captivate (CVE-2021-21011).

Los parches de enero siguen las actualizaciones de seguridad de diciembre programadas regularmente por Adobe, en las que la compañía emitió soluciones a defectos para un CVE crítico y tres CVE críticos en sus aplicaciones Adobe Prelude, Adobe Experience Manager y Adobe. Lightroom.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

No te olvides compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *