Lunes, 24 February 2020 09:41

Vulnerabilidades en Adobe

El CERT de Entelgy Innotec Security avisa de la publicación de varias vulnerabilidades en productos Adobe.

Nivel de Criticidad: CRÍTICO

Adobe ha publicado un boletín de seguridad (APSB20-05) para sus productos Adobe Acrobat y Reader en el que se incluyen 12 vulnerabilidades con una puntuación igual o superior a 7 (NIST - CVSSv2), que se detallan en la siguiente tabla:

CVE

CVSSv2

ACCESO

COMPLEJIDAD

AUTENTICACIÓN

IMPACTO

DESCRIPCIÓN

CVE-2020-3742

10.0

Remoto/Baja

NO/Completo

Adobe Acrobat y Reader tiene una vulnerabilidad de desbordamiento de pila. La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2020-3752

CVE-2020-3754

10.0

10.0

Remoto/Baja

Remoto/Baja

NO/Completo

NO/Completo

Adobe Acrobat y Reader tienen una vulnerabilidad del tipo "Buffer error" (error del búfer). La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751

10.0

10.0

10.0

--

10.0

10.0

--

Remoto/Baja

Remoto/Baja

Remoto/Baja

--

Remoto/Baja

Remoto/Baja

--

NO/Completo

NO/Completo

NO/Completo

--

NO/Completo

NO/Completo

--

Adobe Acrobat y Reader tienen una vulnerabilidad del tipo "user after free" (escritura en memoria previamente liberada). La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2020-3762

CVE-2020-3763

10.0

10.0

Remoto/Baja

Remoto/Baja

NO/Completo

NO/Completo

Adobe Acrobat y Reader tiene una vulnerabilidad de escalada de privilegios. La explotación exitosa de esta vulnerabilidad podría conducir a la escritura arbitraria del sistema de archivos

Por el momento, Adobe no ha hecho públicos los detalles técnicos exactos sobre el origen de dichas vulnerabilidades, ni constan informes de explotación activa o abuso de este problema en la red. Además, cabe mencionar que las vulnerabilidades con CVE (CVE-2020-3748 y CVE-2020-3751) no han recibido ninguna puntuación según la escala CVSSv2 del NIST. Se incluyen en dicha tabla ya que es el propio fabricante quien las ha calificado como CRÍTICAS.

Por otro lado, Adobe ha publicado un boletín de seguridad (APSB20-06) para sus productos Adobe  Flash Player en el que se incluye una vulnerabilidad. Dicha vulnerabilidad todavía no ha recibido puntuación en la base de datos del NIST. No obstante, es el propio fabricante quien califica esta vulnerabilidad como CRÍTICA.

CVE

CVSSv2

ACCESO

COMPLEJIDAD

AUTENTICACIÓN

IMPACTO

DESCRIPCIÓN

CVE-2020-3757

--

---

--

Adobe Flash Player tiene una vulnerabilidad de confusión de tipos. La explotación exitosa podría conducir a la ejecución de código arbitrario.

Por el momento, Adobe no ha hecho públicos los detalles técnicos exactos sobre el origen de dicha vulnerabilidad, ni constan informes de explotación activa o abuso de este problema en la red.

Recursos afectados

Adobe Acrobat y Reader.

  • Acrobat DC, versiones 2019.021.20061 y anteriores (Windows y MacOs).
  • Acrobat Reader DC, versiones 2019.021.20061 y anteriores (Windows y MacOs).
  • Acrobat 2017, versiones 2017.011.30156 y anteriores (Windows).
  • Acrobat Reader 2017, versiones 2017.011.30156 y anteriores (MacOs).
  • Acrobat 2015, versiones 2015.006.30508 y anteriores (Windows y MacOs).
  • Acrobat Reader 2015, versiones 2015.006.30508 y anteriores (Windows y MacOs).

 Adobe Flash Player.

  • Adobe Flash Player Desktop Runtime versiones 32.0.0.321 y anteriores (Windows y MacOs).
  • Adobe Flash Player Desktop Runtime versiones 32.0.0.314 y anteriores (Linux).
  • Adobe Flash Player for Google Chrome versiones 32.0.0.321 y anteriores (Windows, MacOs, Linux y Chrome OS).
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 versiones 32.0.0.255 y anteriores (Windows 10 y 8.1).

 

Solución a la vulnerabilidad

Adobe Acrobat y Reader:

Adobe ya ha publicado nuevas versiones de los productos afectados que corrigen las vulnerabilidades. Las actualizaciones son accesibles a través de alguno de los siguientes métodos:

  • Los usuarios pueden actualizar las instalaciones de sus productos manualmente seleccionando Ayuda> Buscar actualizaciones.
  • Los productos se actualizarán automáticamente, sin requerir la intervención del usuario, cuando se detecten actualizaciones.
  • El instalador completo de Acrobat Reader se puede descargar del Centro de descargas de Acrobat Reader.

Para administradores de TI (entornos gestionados):

  • Descargar los instaladores empresariales desde ftp: //ftp.adobe.com/pub/adobe/, o consultar la versión específica de la nota de lanzamiento para ver los enlaces a los instaladores.
  • Instalar actualizaciones a través de AIP-GPO, bootstrapper, SCUP / SCCM (Windows), o en macOS, Apple Remote Desktop y SSH.

Adobe Flash Player:

  • Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a Adobe Flash Player 32.0.0.330 a través del mecanismo de actualización dentro del producto o visitando el Centro de descarga de Adobe Flash Player.
  • La instalación de Adobe Flash Player con Google Chrome se actualizará automáticamente a la última versión de Google Chrome, que incluirá Adobe Flash Player 32.0.0.330 para Windows, macOS, Linux y Chrome OS.
  • La instalación de Adobe Flash Player con Microsoft Edge e Internet Explorer 11 para Windows 10 y 8.1 se actualizará automáticamente a la última versión, que incluirá Adobe Flash Player 32.0.0.330.
  • En caso de necesitar asistencia en la instalación, Adobe Flash Player pone a disposición de los usuarios la siguiente página de ayuda.  Ayuda de Flash Reproductor.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

ponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Visto 184 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa