Adobe ha publicado una actualización de seguridad que repara quince fallos, clasificados como críticos, que afectan a Adobe Reader y Acrobat.
Los fallos que corrige el boletín de seguridad son los siguientes:
CVE-2010-0190: Corrige un error producido en la ejecución de comandos en sitios cruzados (XSS).
CVE-2010-0191: Repara un fallo que afecta al manejador (handler) del protocolo del prefijo.
CVE-2010-0192, CVE-2010-0193 y CVE-2010-0196: Las tres actualizaciones corrigen un fallo de denegación de servicio (DoS).
CVE-2010-0194, CVE-2010-0197, CVE-2010-201y CVE-2010-204: Cada parche repara un error de corrupción de memoria.
CVE-2010-0195: Fallo producido en el manipulación de las fuentes.
CVE-2010-0198, CVE-2010-0199, CVE-2010-0202 y CVE-2010-0203: Corrigen fallos desbordamiento de búfer.
CVE-2010-1241: Error de desbordamiento de montículo (heap overflow).
Los fallos corregidos podrían ocasionar ataques de peticiones de dominio cruzados, la caída de la aplicación afectada o la ejecución remota de código, con lo que el atacante tomaría el control del equipo y ejecutar en él los programas que quiera.
Es recomendable actualizar los programas a esta última versión, la 9.3.2. Para ello, si dispone de Reader se debe acceder a la opción de ‘Ayuda’ y pinchar en ‘Buscar actualizaciones’.
En caso de que se quiera instalar la actualización manualmente, se debe ir a la página de descarga y a través de ella descargar el programa que corresponda al sistema operativo del que se disponga:
Descarga para Windows: Acrobat y Reader
Descarga para Macintosh: Acrobat y Reader
Descarga para Unix: Reader
La publicación de este boletín coincide con la de una nueva funcionalidad de actualización automática de Reader y Acrobat, con la que Adobe buscará automáticamente las actualizaciones disponibles y las instalará en el equipo sin que el usuario tenga realizar ninguna acción. Esta nueva función se puede activar después de actualizar a la versión 9.3.2 accediendo al menú Edición → Preferencias → Actualizador y en esta pestaña se debe marcar la opción ‘Descargar automáticamente las actualizaciones, pero permitir al usuario elegir el momento de su instalación’.
Fuente: Inteco Cert
