• Tweet

Aunque las vulnerabilidades no están relacionadas, ambas compañías advierten sobre la manipulación arbitraria de archivos.

Adobe y Cisco liberaron boletines de seguridad el miércoles que hablan sobre vulnerabilidades en sus productos.

Cisco liberó el boletín cisco-sa-20080312-ucp, que trata sobre múltiples vulnerabilidades en el Servidor de Control de Acceso Seguro de Cisco para el programa User-Changeable Password (UCP) de Windows.

"El primer conjunto de vulnerabilidades se refieren a varias condiciones de buffer overflow en la aplicación UCP que podría resultar en la ejecución remota de código arbitrario en el sistema donde está instalado UCP", dice Cisco en su boletín. "El segundo grupo de vulnerabilidades se refiere a cross-site scripting en páginas de la aplicación UCP. Los dos grupos de vulnerabilidades podrían ser explotados remotamente, y no requieren de credenciales válidas de usuario".

Cisco ha publicado una versión actualizada de la aplicación UCP para resolver estos problemas; la compañía dice que no hay otra solución para mitigar las vulnerabilidades.

Adobe, mientras tanto, liberó seis boletines de seguridad que detallan las múltiples vulnerabilidaes en el Adobe Reader 8.1.2 para Unix, ColdFusion MX 7 y ColdFusion 8, los componentes Adobe Form Designer 5.0 y Adobe Form Client 5.0, y LiveCycle Workflow 6.2.

Adobe dice que el script para iniciar Adobe Reader 8.1.2 para Unix podría permitir a un usuario local malicioso escalar privilegios y potencialmente modificar o borrar archivos arbitrariamente. Clasifica la severidad de esta vulnerabilidad como "moderada" y dice que un parche está por venir. Mientras tanto, los usuarios sólo deben permitir a usuarios confiables acceder a su equipo local.

Las fallas de ColdFusion incluyen vulnerabilidad a ataques cross-site scripting y problemas para reconocer intentos fallidos de inicio de sesión. Adobe considera estos problemas como "importantes" y "moderados" en severidad, respectivamenre. Está disponible un parche o corrección, dependiendo de la versión del software.

La vulnerabilidad de Form Designer está clasificada como "critica". Si un archivo malicioso html se carga por el programa del usuario, un intruso podría tomar control del sistema afectado. Adobe ha puesto un parche a disposición.

LiveCycle Workflow 6.2 es vulnerable a cross-site scripting, un problema que Adobe clasifica como "importante". Adobe puso un parche a disposición.