Viernes, 14 Agosto 2020 08:53

El CSIRT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en productos Adobe

El CSIRT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en productos Adobe de nivel crítico y alto.

Adobe ha lanzado actualizaciones de seguridad que corrigen veintiséis vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader. Las vulnerabilidades se deben a errores de divulgación de datos sensibles, bypass de seguridad, escritura y lectura fuera de límites, agotamiento de la pila, errores de búfer y de uso de memoria previamente liberada en las versiones para Windows y macOS de los productos Adobe afectados, que podrían permitir a un atacante la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria, según el caso. Además, la compañía también ha lanzado otra actualización para corregir una vulnerabilidad de escalada de privilegios en Adobe Lightroom Classic para usuarios de Windows.

A continuación, se exponen las 27 vulnerabilidades clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto, criticidad e identificador CVE asignado:

Adobe Acrobat y Reader:

Vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader para Windows y macOS que podrían permitir, según el caso, la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria.

Tipo de vulnerabilidad	Impacto	Severidad	CVE
Divulgación de datos sensibles	Pérdida de memoria	Importante	CVE-2020-9697
Bypass de seguridad	Escalada de privilegios	Importante	CVE-2020-9714
Escritura fuera de límites	Ejecución de código	Crítico	CVE-2020-9693 CVE-2020-9694
Bypass de seguridad	Omisión de funciones de seguridad	Crítico	CVE-2020-9696 CVE-2020-9712
Agotamiento de la pila	Denegación de servicio	Importante	CVE-2020-9702 CVE-2020-9703
Lectura fuera de límites	Divulgación de información	Importante	CVE-2020-9723 CVE-2020-9705 CVE-2020-9706 CVE-2020-9707 CVE-2020-9710 CVE-2020-9716 CVE-2020-9717 CVE-2020-9718 CVE-2020-9719 CVE-2020-9720 CVE-2020-9721
Error de búfer	Ejecución de código	Crítico	CVE-2020-9698 CVE-2020-9699 CVE-2020-9700 CVE-2020-9701 CVE-2020-9704
Use-after-free	Ejecución de código	Crítico	CVE-2020-9715 CVE-2020-9722

Adobe Lightroom Classic:

Adobe ha publicado una actualización de seguridad para Lightroom Classic en entornos Windows que resuelve un error de carga de biblioteca insegura que podría conducir a la escalada de privilegios.

Tipo de vulnerabilidad	Impacto	Severidad	CVE
Carga de biblioteca insegura	Escalada de privilegios	Importante	CVE-2020-9724

Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE y, por lo tanto, se desconoce su score según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas y altas. Hasta la fecha tampoco se tiene conocimiento de actividad malintencionada en la red, ni de la disponibilidad de exploits que se aprovechen de alguna de estas vulnerabilidades.

Recursos afectados:

Acrobat DC para Windows y macOS. Versión009.20074 y anteriores.
Acrobat Reader DC para Windows y macOS. Versión 009.20074 y anteriores.
Acrobat 2020 para Windows y macOS. Versión 001.30002.
Acrobat Reader 2020 para Windows y macOS. Versión001.30002.
Acrobat 2017 para Windows y macOS. Versión 011.30171 y anteriores.
Acrobat Reader 2017 para Windows y macOS. Versión 011.30171 y anteriores.
Acrobat 2015 para Windows y macOS. Versión 006.30523 y anteriores.
Acrobat Reader 2015 para Windows y macOS. Versión 006.30523 y anteriores.
Lightroom Classic para Windows. Versión 2.0.10 y anteriores.

Solución a las vulnerabilidades:

Acrobat DC para Windows. Actualizar a la versión 012.20041.
Acrobat DC para macOS. Actualizar a la versión 012.20041.
Acrobat Reader DC para Windows. Actualizar a la versión 012.20041.
Acrobat Reader DC para macOS. Actualizar a la versión 012.20041.
Acrobat 2020 para Windows. Actualizar a la versión 001.30005.
Acrobat 2020 para macOS. Actualizar a la versión 001.30005.
Acrobat Reader 2020 para Windows. Actualizar a la versión 001.30005.
Acrobat Reader 2020 para macOS. Actualizar a la versión 001.30005.
Acrobat 2017 para Windows. Actualizar a la versión 011.30175.
Acrobat 2017 para macOS. Actualizar a la versión 011.30175.
Acrobat Reader 2017 para Windows. Actualizar a la versión 011.30175.
Acrobat Reader 2017 para macOS. Actualizar a la versión 011.30175.
Acrobat 2015 para Windows. Actualizar a la versión 006.30527.
Acrobat 2015 para macOS. Actualizar a la versión 006.30527.
Acrobat Reader 2015 para Windows. Actualizar a la versión 006.30527.
Acrobat Reader 2015 para macOS. Actualizar a la versión 006.30527.
Lightroom Classic para Windows. Actualizar a la versión 3.

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.