Dos nuevos avisos de seguridad
Índice
- Contaminación de prototipos en Adobe Acrobat y Reader
- Múltiples vulnerabilidades en SSL VPN Client de Synology
Contaminación de prototipos en Adobe Acrobat y Reader
Los siguientes productos, tanto para Windows como para macOS:
- Acrobat DC, versión 26.001.21367 y anteriores;
- Acrobat Reader DC, versión 26.001.21367 y anteriores;
- Acrobat 2024, versión 24.001.30356 y anteriores.
Haifei Li de EXPMON ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir ejecutar código malicioso en el sistema afectado.
Actualizar los productos a su última versión.
Debido a que esta vulnerabilidad está siendo explotada, se recomienda encarecidamente instalar la actualización con la mayor brevedad posible.
La vulnerabilidad es de tipo contaminación de prototipos, lo que significa que un atacante consigue modificar propiedades de un prototipo (prototype) en JavaScript. De esta forma, un atacante puede conseguir que se ejecute código arbitrario y lograr, entre otras acciones, acceder a información.
La vulnerabilidad está siendo explotada.
Múltiples vulnerabilidades en SSL VPN Client de Synology
Cliente VPN SSL de Synology, en las versiones anteriores a 1.4.5-0684.
Laurent Sibilla ha informado de 2 vulnerabilidades, 1 alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante en remoto acceder a archivos confidenciales y obtener o manipular el código PIN en el cliente SSL VPN.
Se recomienda encarecidamente actualizar a la versión 1.4.5-0684 o posteriores.
La vulnerabilidad de severidad alta se debe a que en el cliente Synology SSL VPN se almacenan las contraseñas en texto plano (sin cifrar), lo cual podría permitir a atacantes remotos acceder o modificar el PIN del usuario. Esto podría provocar, a su vez, que los atacantes cambien la configuración de la VPN de forma no autorizada o intercepten el tráfico VPN al combinarse con la interacción del usuario.