Nivel de peligrosidad: CRÍTICO.
Adobe ha lanzado actualizaciones de seguridad que corrigen 29 vulnerabilidades relacionadas con varios de sus productos. Los fallos reportados podrían permitir la ejecución de código remota (RCE).
Si bien no se conocen vulnerabilidades de tipo zero-day en el reporte de este mes, Adobe aconseja a los clientes que actualicen a las últimas versiones lo antes posible, puesto que no se descarta la creación de exploits que en un futuro exploten estas vulnerabilidades.
A continuación, se exponen las 16 vulnerabilidades clasificadas como críticas por el fabricante según el producto afectado junto a una tabla que muestra el tipo de vulnerabilidad, impacto de la misma e identificador CVE asignado.
CVE |
Tipo de vulnerabilidad |
Impacto |
CVE-2023-21579 |
Desbordamiento o envoltura de enteros. |
Ejecución de código arbitrario. |
CVE-2023-21604 |
Desbordamiento de búfer. |
Ejecución de código arbitrario. |
CVE-2023-21605 |
Desbordamiento de búfer. |
Ejecución de código arbitrario. |
CVE-2023-21606 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
CVE-2023-21607 |
Validación incorrecta de las entradas. |
Ejecución de código arbitrario. |
CVE-2023-21608 |
Use after free. |
Ejecución de código arbitrario. |
CVE-2023-21609 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
CVE-2023-21610 |
Desbordamiento de búfer. |
Ejecución de código arbitrario. |
CVE-2023-21587 |
Desbordamiento de búfer. |
Ejecución de código arbitrario. |
CVE-2023-21588 |
Validación incorrecta de las entradas. |
Ejecución de código arbitrario. |
CVE-2023-21589 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
CVE-2023-21590 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
CVE-2023-21594 |
Desbordamiento de búfer. |
Ejecución de código arbitrario. |
CVE-2023-21595 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
CVE-2023-21596 |
Validación incorrecta de las entradas. |
Ejecución de código arbitrario. |
CVE-2023-21597 |
Escritura fuera de límites. |
Ejecución de código arbitrario. |
La base de datos del NIST, por el momento, no ha registrado estas vulnerabilidades, por lo tanto, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Recursos afectados:
- Adobe Acrobat - DC: Versiones 22.003.20282 (Win), 22.003.20281 (Mac) y anteriores. 2020: Versión 20.005.30418 y anteriores.
- Adobe Acrobat Reader - DC: Versiones 22.003.20282 (Win), 22.003.20281 (Mac) y anteriores. 2020: Versión 20.005.30418 y anteriores.
- Adobe InCopy - Versión ID18.0 y anteriores. Versión ID17.4 y anteriores.
- Adobe InDesign - Versión ID18.0 y anteriores. Versión ID17.4 y anteriores.
Solución a las vulnerabilidades:
Desde la compañía se recomienda actualizar a las nuevas versiones de los diferentes productos Adobe a través de los enlaces que se ofrecen a continuación:
- Adobe Acrobat:
- DC: actualizar a la versión 22.003.20310 en sistemas Windows y MacOS.
- 2020: actualizar a la versión 20.005.30436 en sistemas Windows y MacOS.
- Adobe Reader:
- DC: actualizar a la versión 22.003.20310 en sistemas Windows y MacOS.
- 2020: actualizar a la versión 20.005.30436 en sistemas Windows y MacOS
- Adobe InDesign:
- ID18.0: actualizar a la versión ID18.1 en todos los sistemas.
- ID17.4: actualizar a la versión ID17.4.1 en todos los sistemas.
- Adobe InCopy:
- ID18.0: actualizar a la versión ID18.1 en todos los sistemas.
- ID17.4: actualizar a la versión ID17.4.1 en todos los sistemas.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.
Referencias: