1. Descripción

   Adobe ha publicado actualizaciones de seguridad para Adobe Flash Player para sistema Windows, Linux y Macintosh. Estas actualizaciones corrigen vulnerabilidades que podrían permitir a un atacante tomar el control del sistema afectado. Adobe recomienda a los usuarios actualizar sus productos a las últimas versiones:

   • Los usuarios de Adobe Flash Player Desktop Runtime para sistemas Windows y Macintosh deberían actualizar a Adobe Flash Player 18.0.0.160.
   • Los usuarios de Adobe Flash Player Extended Support Release para sistemas Windows y Macintosh deberían actualizar a Adobe Flash Player 13.0.0.292.*
   • Los usuarios de Adobe Flash Player para Linux deberían actualizar a Adobe Flash Player 11.2.202.466.
   • Adobe Flash Player instalado con Google Chrome se actualizará automáticamente a la versión 18.0.0.160 (Windows y Linux) y 18.0.0.161 (Macintosh).
   • Adobe Flash Player instalado con Internet Explorer en sistemas Windows 8.x se actualizará automáticamente a la versión 18.0.0.160.
   • Los usuarios de Adobe AIR Desktop Runtime deberían actualizar a la versión 18.0.0.143 (Macintosh) and 18.0.0.144 (Windows).
   • Los usuarios de Adobe AIR SDK y AIR SDK & Compiler deberían actualizar a la versión 18.0.0.143.

    

   Versiones del software afectado

    
   • Adobe Flash Player 17.0.0.188 y versiones anteriores para sistemas Windows y Macintosh.
   • Adobe Flash Player Extended Support Release 13.0.0.289 y versiones anteriores a 13.x para sistemas Windows y Macintosh.
   • Adobe Flash Player 11.2.202.460 y versiones anteriores a 11.x para sistemas Linux.
   • Adobe AIR Desktop Runtime 17.0.0.172 y versiones anteriores para sistemas Windows y Macintosh.
   • Adobe AIR SDK y SDK & Compiler 17.0.0.172 y versiones anteriores para sistemas Windows y Macintosh.
   • Adobe AIR 17.0.0.144 y versiones anteriores para sistemas Android.

   Para verificar la versión de Adobe Flash Player instalada en tu sistema, acceda a la página About Flash Player o ir al menú principal de la aplicación, dar clic en "Help" y seleccionar "About Adobe (o Macromedia) Flash Player". Si tú usas varios navegadores, realiza la comprobación para cada navegador que esté instalado en su sistema.

   Para verificar la versión de Adobe AIR instalada en tu sistema, siga las instrucciones de Adobe AIR TechNote.

    

2. Impacto

   Adobe categoriza estas actualizaciones de acuerdo con las siguientes calificaciones prioritarias y recomienda a los usuarios actualizar la instalación de sus productos a la versión más reciente:

   Producto	Versiones afectadas	Plataforma	Calificación de prioridad
   Adobe Flash Player Desktop Runtime	17.0.0.188 y anteriores	Windows y Macintosh	1
   Adobe Flash Player Extended Support Release	13.0.0.289 y anteriores	Windows y Macintosh	1
   Adobe Flash Player para Google Chrome	17.0.0.188 y anteriores	Windows, Linux y Macintosh	1
   Adobe Flash Player para Internet Explorer 10 e Internet Explorer 11	17.0.0.188 y anteriores	Windows 8.0 y 8.1	1
   Adobe Flash Player	11.2.202.460 y anteriores	Linux	3
   AIR Desktop Runtime	17.0.0.172 y anteriores	Windows y Macintosh	3
   AIR SDK	17.0.0.172 y anteriores	Windows, Macintosh, Android y iOS	3
   AIR SDK & Compiler	17.0.0.172 y anteriores	Windows, Macintosh, Android y iOS	3
   AIR para Android	17.0.0.144 y anteriores	Android	3

   Estas actualizaciones corrigen vulnerabilidades críticas en el software.

    

   Detalles

   Adobe ha publicado actualizaciones de seguridad para Adobe Flash Player para sistemas Windows, Linux y Macintosh. Estas actualizaciones corrigen vulnerabilidades que podrían permitir a un atacante tomar el control del sistema afectado. Adobe recomienda a los usuarios que actualicen sus productos a las versiones más recientes.

   • Los usuarios de Adobe Flash Player Desktop Runtime para sistemas Windows y Macintosh deberían actualizar a Adobe Flash Player 18.0.0.160.
   • Los usuarios de Adobe Flash Player Extended Support Release para sistemas Windows y Macintosh deberían actualizar a Adobe Flash Player 13.0.0.292.
   • Los usuarios de Adobe Flash Player para sistemas Linux deberían actualizar a Adobe Flash Player 11.2.202.466.
   • Adobe Flash Player instalado con Google Chrome se actualizará automáticamente a la versión 18.0.0.160 (Windows y Linux) y 18.0.0.161 (Macintosh).
   • Adobe Flash Player instalado con Internet Explorer en sistemas Windows 8.x se actualizará automáticamente a la versión 18.0.0.160.
   • Los usuarios de Adobe AIR Desktop Runtime deberían actualizar a la versión 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows).
   • Los usuarios de Adobe AIR SDK y AIR SDK & Compiler deberían actualizar a la versión 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows).
   • Los usuarios de Adobe AIR para sistemas Android deberían actualizar a la versión 18.0.0.143.

   
   Estas actualizaciones corrigen una vulnerabilidad (CVE-2015-3096) que podría ser explotada para evitar la corrección de la vulnerabilidad CVE-2014-5333.

   Estas actualizaciones mejoran el direccionamiento de memoria aleatorio de Flash heap para plataformas Windows 7 de 64 bits (CVE-2015-3097).

   Estas actualizaciones corrigen vulnerabilidades que podrían ser explotadas y conducir a divulgación de información (CVE-2015-3098, CVE-2015-3099 y CVE-2015-3102).

   Estas actualizaciones corrigen una vulnerabilidad de desbordamiento de pila que podría provocar ejecución de código (CVE-2015-3100).

   Estas actualizaciones corrigen un problema de permisos en Flash para Internet Explorer que podría ser explotado para escalar privilegios de bajo a medio nivel de integridad (CVE-2015-3101).

   Estas actualizaciones corrigen una vulnerabilidad "Integer overflow" que podría provocar ejecución de código (CVE-2015-3104).

   Estas actualizaciones corrigen una vulnerabilidad de corrupción de memoria que podría provocar ejecución de código (CVE-2.015-3105).

   Estas actualizaciones corrigen vulnerabilidades "Use-After-Free" que podrían provocar ejecución de código (CVE-2015-3103, CVE-2015-3106 y CVE-2015-3107).

   Estas actualizaciones corrigen una vulnerabilidad "Memory leak" que podría ser usada para eludir ASLR - Address Space Layout Randomization (CVE-2015-3108).

   Software afectado	Actualización recomendada	Disponibilidad
   Flash Player Desktop Runtime	18.0.0.160	Flash Player Download Center Flash Player Distribution
   Flash Player Extended Support Release	13.0.0.292	Extended Support
   Flash Player para Linux	11.2.202.466	Flash Player Download Center
   Flash Player para Google Chrome	18.0.0.160 (Windows y Linux) 18.0.0.161 (Macintosh)	Google Chrome Releases
   Flash Player para Internet Explorer 10 e Internet Explorer 11	18.0.0.160	Microsoft Security Advisory
   AIR Desktop Runtime	18.0.0.143 (Macintosh) 18.0.0.144 (Windows)	AIR Download Center
   AIR SDK	18.0.0.143 (Macintosh) 18.0.0.144 (Windows)	AIR SDK Download
   AIR SDK & Compiler	18.0.0.143 (Macintosh) 18.0.0.144 (Windows)	AIR SDK Download
   AIR para Android	18.0.0.143	Google Play

    

3. Solución

   Adobe recomienda a los usuarios actualizar su software instalado siguiendo las instrucciones a continuación:

   • Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para sistemas Windows y Macintosh actualizar a Adobe Flash Payer 18.0.0.160 visitando el Centro de Descargas Adobe Flash Player o mediante el mecanismo de actualización del producto cuando lo solicite.
   • Adobe recomienda a los usuarios de Adobe Flash Player Extended Support Release actualizar a la versión 13.0.0.292 visitando http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.*
   • Adobe recomienda a los usuarios de Adobe Flash Player para sistemas Linux la actualización a Adobe Flash Player 11.2.202.466 visitando el Centro de Descargas Adobe Flash Player.
   • Adobe Flash Player instalado con Google Chrome se actualizará automáticamente a la última versión de Google Chrome, la cual incluye Adobe Flash Player 18.0.0.160 (Windows y Linux) y 18.0.0.161 (Macintosh).
   • Adobe Flash Player instalado con Internet Explorer para sistemas Windows 8.x se actualizará automáticamente a la última versión, la cual incluye Adobe Flash Player 18.0.0.160.
   • Adobe recomienda a los usuarios de Adobe AIR Desktop Runtime actualizar a la versión 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows) visitando el Centro de Descargas Adobe AIR.
   • Adobe recomienda a los usuarios de Adobe AIR SDK y AIR SDK & Compiler actualizar a la versión 18.0.0.143 (Macintosh) y 18.0.0.144 (Windows) visitando el Centro de Descargas Adobe AIR.
   • Adobe recomienda a los usuarios de Adobe AIR para sistemas Android actualizar a la versión 18.0.0.143 descargando la última versión desde la tienda Google Play.

   *Nota: A partir del 11 de agosto de 2015, Adobe actualizará la versión Extended Support Release de Flash Player 13 a Flash Player 18 para sistemas Windows y Macintosh. Para mantenerse al día con todas las actualizaciones de seguridad disponibles, los usuarios deben instalar la versión 18 de Flash Player Extended Support Release o actualizar a la versión más reciente disponible. Para más detalles, consulte esta entrada de blog.

    

   Agradecimientos

   Adobe agradece a las siguientes personas y organizaciones por informar de los problemas pertinentes y por trabajar con Adobe para ayudar a proteger a nuestros clientes:

   • Bilou, en colaboración con Chromium Vulnerability Reward Program  (CVE-2015-3106)
   • Chris Evans de Google Project Zero (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105 y CVE-2015-3108)
   • Haifei Li de McAfee Labs IPS Team (CVE-2015-3100)
   • Pujun Li / PKAV team (pkav.net) (CVE-2015-3102)
   • Malte Batram (CVE-2015-3098 y CVE-2015-3099)
   • Natalie Silvanovich de Google Project Zero (CVE-2015-3107)
   • Tomas Polesovsky (CVE-2015-3096)
   • Wen Guanxing de Venustech ADLAB (CVE-2015-3103)

    

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Jonathan Banfi Vázquez (jonathan dot banfi at cert dot unam dot mx)