Adobe ha lanzado actualizaciones de seguridad que corrigen veintiséis vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader. Las vulnerabilidades se deben a errores de divulgación de datos sensibles, bypass de seguridad, escritura y lectura fuera de límites, agotamiento de la pila, errores de búfer y de uso de memoria previamente liberada en las versiones para Windows y macOS de los productos Adobe afectados, que podrían permitir a un atacante la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria, según el caso. Además, la compañía también ha lanzado otra actualización para corregir una vulnerabilidad de escalada de privilegios en Adobe Lightroom Classic para usuarios de Windows.
A continuación, se exponen las 27 vulnerabilidades clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto, criticidad e identificador CVE asignado:
Adobe Acrobat y Reader:
Vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader para Windows y macOS que podrían permitir, según el caso, la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria.
Tipo de vulnerabilidad |
Impacto |
Severidad |
CVE |
Divulgación de datos sensibles |
Pérdida de memoria |
Importante |
CVE-2020-9697 |
Bypass de seguridad |
Escalada de privilegios |
Importante |
CVE-2020-9714 |
Escritura fuera de límites |
Ejecución de código |
Crítico |
CVE-2020-9693 CVE-2020-9694 |
Bypass de seguridad |
Omisión de funciones de seguridad |
Crítico |
CVE-2020-9696 CVE-2020-9712 |
Agotamiento de la pila |
Denegación de servicio |
Importante |
CVE-2020-9702 CVE-2020-9703 |
Lectura fuera de límites |
Divulgación de información |
Importante |
CVE-2020-9723 CVE-2020-9705 CVE-2020-9706 CVE-2020-9707 CVE-2020-9710 CVE-2020-9716 CVE-2020-9717 CVE-2020-9718 CVE-2020-9719 CVE-2020-9720 CVE-2020-9721 |
Error de búfer |
Ejecución de código |
Crítico |
CVE-2020-9698 CVE-2020-9699 CVE-2020-9700 CVE-2020-9701 CVE-2020-9704 |
Use-after-free |
Ejecución de código |
Crítico |
CVE-2020-9715 CVE-2020-9722 |
Adobe Lightroom Classic:
Adobe ha publicado una actualización de seguridad para Lightroom Classic en entornos Windows que resuelve un error de carga de biblioteca insegura que podría conducir a la escalada de privilegios.
Tipo de vulnerabilidad |
Impacto |
Severidad |
CVE |
Carga de biblioteca insegura |
Escalada de privilegios |
Importante |
CVE-2020-9724 |
Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE y, por lo tanto, se desconoce su score según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas y altas. Hasta la fecha tampoco se tiene conocimiento de actividad malintencionada en la red, ni de la disponibilidad de exploits que se aprovechen de alguna de estas vulnerabilidades.
Recursos afectados:
- Acrobat DC para Windows y macOS. Versión009.20074 y anteriores.
- Acrobat Reader DC para Windows y macOS. Versión 009.20074 y anteriores.
- Acrobat 2020 para Windows y macOS. Versión 001.30002.
- Acrobat Reader 2020 para Windows y macOS. Versión001.30002.
- Acrobat 2017 para Windows y macOS. Versión 011.30171 y anteriores.
- Acrobat Reader 2017 para Windows y macOS. Versión 011.30171 y anteriores.
- Acrobat 2015 para Windows y macOS. Versión 006.30523 y anteriores.
- Acrobat Reader 2015 para Windows y macOS. Versión 006.30523 y anteriores.
- Lightroom Classic para Windows. Versión 2.0.10 y anteriores.
Solución a las vulnerabilidades:
- Acrobat DC para Windows. Actualizar a la versión 012.20041.
- Acrobat DC para macOS. Actualizar a la versión 012.20041.
- Acrobat Reader DC para Windows. Actualizar a la versión 012.20041.
- Acrobat Reader DC para macOS. Actualizar a la versión 012.20041.
- Acrobat 2020 para Windows. Actualizar a la versión 001.30005.
- Acrobat 2020 para macOS. Actualizar a la versión 001.30005.
- Acrobat Reader 2020 para Windows. Actualizar a la versión 001.30005.
- Acrobat Reader 2020 para macOS. Actualizar a la versión 001.30005.
- Acrobat 2017 para Windows. Actualizar a la versión 011.30175.
- Acrobat 2017 para macOS. Actualizar a la versión 011.30175.
- Acrobat Reader 2017 para Windows. Actualizar a la versión 011.30175.
- Acrobat Reader 2017 para macOS. Actualizar a la versión 011.30175.
- Acrobat 2015 para Windows. Actualizar a la versión 006.30527.
- Acrobat 2015 para macOS. Actualizar a la versión 006.30527.
- Acrobat Reader 2015 para Windows. Actualizar a la versión 006.30527.
- Acrobat Reader 2015 para macOS. Actualizar a la versión 006.30527.
- Lightroom Classic para Windows. Actualizar a la versión 3.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.
Referencias: