Poco después de Microsoft, con sus múltiples actualizaciones de seguridad, Adobe y Oracle han hecho de octubre un mes muy ocupado para los administradores de sistemas.

Adobe ha publicado actualizaciones críticas para Flash Player y para todas las plataformas, corrigiendo las vulnerabilidades CVE-2014-0558, CVE-2014-0564 y CVE-2014-0569, las cuales serán corregidas automáticamente en sistemas ejecutando Internet Explorer 10 y 11, pero no en aquellos con versiones anteriores de dicho navegador, en donde se tendrán que aplicar los parches urgentemente de forma manual.

Adobe también publicó correcciones para problemas que afectan ColdFusion, versiones de la 9 a la 11 en todas las plataformas.

Adobe explicó: "Los últimos parches corrigen un problema con permisos de seguridad que podría ser explotado por un usuario local no autenticado, para así traspasar las restricciones de control de acceso por dirección IP, aplicadas en la interfaz ColdFusion Administrator. Asimismo, se corrigieron vulnerabilidades del tipo 'Cross-site scripting' y 'cross-site request forgery'".

A su vez, Oracle ha emitido 154 correcciones para vulnaberabilidades en varios de sus productos, incluidos Java SE, MySQL, RDBMS, Fusion Middleware y Solaris. Se encontraron 25 vulnerabilidades en Java, en sus versiones 6, 7 y 8 con al menos nueve de ellas de nivel crítico, ya que permiten afectar el sistema de manera remota.

"Observa bien que la publicación es grande y tiene parches para prácticamente cualquier cliente de Oracle", indicó Wolfgang Kendek, Director de Tecnología de Qualys. "Una buena aplicación de inventario o un escaneo integral ayudará a determinar qué se tiene que corregir de manera urgente".

Alrededor de 31 vulnerabilidades fueron descubiertas en Oracle RDBMS, de las que seis de ellas tienen asignado un rango de 9 en CVSS.

"Todas ellas requieren que se tenga el privilegio CREATE SESSION, lo que significa que los atacantes necesitan credenciales de autenticación", explicó Kandek. "Los servidores Oracle RDBMS no están conectados a Internet, por lo que un atacante tendría que acceder a la red local mediante otra vulnerabilidad antes de poder explotar alguna de las mencionadas".

En MySQL hay 24 vulnerabilidades, tres de ellas permiten explotación del sistema de manera remota, con calificación CVSS mayor a 7. En solaris se identificaron 18 y en Fusion Middleware 15.

"Este grupo de productos [Fusion] contiene servidores web y de aplicación Oracle y debería recibir un trato de alta prioridad, si son utilizados en una máquina conectada a Internet", dijo Kandek. "Aquí Oracle corrige la vulnerabilidad CVE-2014-0114 de Struts".