|
Buenos Aires, mayo de 2013
Adobe publicó en mayo tres boletines de seguridad, dedicados a diferentes productos. Por orden de numeración, y no de gravedad, son:
APSB13-13 un "hotfix" para ColdFusion
APSB13-14 actualizaciones varias de Adobe Flash Player y Air
APSB13-15 los acostumbrados parches para Adobe Reader y Acrobat
Vamos por partes, entonces.
Matafuegos para ColdFusion
La empresa solicita a sus usuarios de ese producto, en todas las plataformas, que lo actualicen con urgencia. Dos expertos, uno de Tenant y el otro de Symantec, informaron sobre sendas fallas graves, que ya están sido utilizadas para ataques reales.
La descarga del "hotfix" o parche urgentísimo se debe hacer desde aquí y corresponde a las versiones de ColdFusion 9.0 - 9.1 - 9.2 y 10 para Windows, Macintosh y los UNIX y derivados.
Consejo personal agregado: que los usuarios se aseguren de estar entrando en la página correspondiente de Adobe y no en algún lugar trucho donde lo esté esperando el lobo disfrazado de caperucita.
Las soluciones para Flash y AIR
Dado que si un website no usa Flash es considerado automáticamente por la gente fashion como un producto de la prehistoria, los que tienen Flash habilitado en su compu deberán actualizarlo con urgencia. Eso quiere decir YA, apenas terminen de leer esta página. Calma, en mi website se pueden quedar, no uso flash.
¿La causa de este apuro? Trece fallas de seguridad muy graves, que pueden ser vehículos de otros tantos ataques, y que pueden funcionar "en todas las plataformas", dice Adobe. Ello significa en cuanto sistema operativo tengas instalado, no faltaba más.
Versiones afectadas (¡suenen trompetas!!!!)
* Flash Player 11.7.700.169 y anteriores, Win y Mac.
* Flash Player 11.2.202.280 y anteriores, Unixes varios
Para celulares y superfonitos
* Flash Player 11.1.111.50 y anteriores, Android 3.x y 2.x
* Flash Player 11.1.115.54 y anteriores, Android 4.x
Usuarios AIR
* AIR 3.7.0.1530 y anteriores para Win y Mac
* AIR 3.7.0.1660 y anteriores para Android
Desarolladores (no se iban a salvar...)
* AIR 3.7.0.1530 SDK y Compiler y versiones anteriores
Ojo con este comentario de la empresa:
"Para verificar la versión de Adobe Flash Player instalada en el sistema, acceda a la página Acerca de Flash Player o haga clic en contenido ejecutado en Flash Player y seleccione "Acerca de Adobe (o Macromedia) Flash Player" en el menú. Si utiliza varios exploradores, realice la comprobación para cada explorador instalado en su sistema".
Mirá vos. Si, como muchos usuarios, tenés Microsoft Internet Explorer y agregaste Firefox y encima alguien le hizo clic a "instalar la barra de Google y Google Chrome"... podrías tener TRES versiones de Flash dispuestas a recibir las invitaciones de los delincuentes de siempre, y NO se van a actualizar porque vos bajes UNA de ellas a uno de los navegadores. Tomar nota.
Y vamos por el Sufrimiento Adobe Reader de hoy, acompañados por un cordobés que muestra las uñas.
Se solucionaron 25 (ecco, ¡veinticinco!) fallas de programación, que dieron paso a otras tantas vulnerabilidades en la seguridad.
Acá les paso la lista de versiones afectadas, y cuáles son las que deberían quedar instaladas en sus equipos:
* Reader 9.5.4 y versiones anteriores para Win y Mac que no pueden actualizar a Reader XI (11.0.03), usen la actualización de Adobe Reader 9.5.5.
* Reader X (10.1.6) y versiones anteriores para Windows y Macintosh que no puedan actualizar, usen la actualización de Adobe Reader X (10.1.7).
* Reader XI (11.0.02) para Win y Mac (la que es modificada ahora), deben actualizar a Adobe Reader XI (11.0.03) (la nueva).
* Reader 9.5.4 y anteriores para Linux, pasen a Reader 9.5.5.
Los usuarios Reader sobre Windows y Mac pueden actualizar el producto pasando por la opción correspondiente en Ayuda. Para los que trabajan con unixes o sus derivados, el repositorio provisto por Adobe es éste
Con los usuarios de Acrobat pasa algo parecido, y tendrán que pasar por el website de la empresa para aplicar la actualización correspondiente. Aquí para Acrobat Standard y Pro en Windows y en este link para Acrobat Pro en Mac.
Un cordobés que muestra las uñas
Entre los especialistas que Adobe menciona en la lista de agradecimientos noté la presencia de Jurczyk, Coldwind y Tavis Ormandy del Google Security Team, Holtz y Klein (independientes) y de Felipe Andrés Manzano, un ex-Core Security que desde 2008 está a la cabeza del equipo de investigación de vulnerabilidades Binamuse.com de Córdoba. Como también publicó otras investigaciones, relacionadas con riesgos de seguridad en el muy usado SketchUp de Google, ya volveremos a revisar su trabajo.
Acá termina el capítulo de sufridos usuarios de Adobe Reader.
¿Alguno de ustedes consideró que existe esto?
|
