Viernes, 14 August 2020 08:53

El CSIRT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en productos Adobe

El CSIRT de Entelgy Innotec Security avisa de  la publicación de vulnerabilidades en productos Adobe de nivel crítico y alto.

Adobe ha lanzado actualizaciones de seguridad que corrigen veintiséis vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader. Las vulnerabilidades se deben a errores de divulgación de datos sensibles, bypass de seguridad, escritura y lectura fuera de límites, agotamiento de la pila, errores de búfer y de uso de memoria previamente liberada en las versiones para Windows y macOS de los productos Adobe afectados, que podrían permitir a un atacante la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria, según el caso. Además, la compañía también ha lanzado otra actualización para corregir una vulnerabilidad de escalada de privilegios en Adobe Lightroom Classic para usuarios de Windows.

A continuación, se exponen las 27 vulnerabilidades clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto, criticidad e identificador CVE asignado:

Adobe Acrobat y Reader:

Vulnerabilidades críticas y altas en Adobe Acrobat y Adobe Reader para Windows y macOS que podrían permitir, según el caso, la ejecución de código en el contexto de seguridad del usuario conectado, escalar privilegios, omitir las funciones de seguridad, provocar una denegación de servicio en la aplicación, divulgar información o que se produzca pérdida de memoria.

Tipo de vulnerabilidad

Impacto

Severidad

CVE

Divulgación de datos sensibles

Pérdida de memoria

Importante

CVE-2020-9697

Bypass de seguridad

Escalada de privilegios

Importante

CVE-2020-9714

Escritura fuera de límites

Ejecución de código   

Crítico

CVE-2020-9693

CVE-2020-9694

Bypass de seguridad

Omisión de funciones de seguridad

Crítico

CVE-2020-9696

CVE-2020-9712

Agotamiento de la pila

Denegación de servicio

Importante

CVE-2020-9702

CVE-2020-9703

Lectura fuera de límites

Divulgación de información

Importante

CVE-2020-9723

CVE-2020-9705

CVE-2020-9706

CVE-2020-9707

CVE-2020-9710

CVE-2020-9716

CVE-2020-9717

CVE-2020-9718

CVE-2020-9719

CVE-2020-9720

CVE-2020-9721

Error de búfer

Ejecución de código

Crítico

CVE-2020-9698

CVE-2020-9699

CVE-2020-9700

CVE-2020-9701

CVE-2020-9704

Use-after-free

Ejecución de código

Crítico

CVE-2020-9715

CVE-2020-9722

Adobe Lightroom Classic:

Adobe ha publicado una actualización de seguridad para Lightroom Classic en entornos Windows que resuelve un error de carga de biblioteca insegura que podría conducir a la escalada de privilegios. 

Tipo de vulnerabilidad

Impacto

Severidad

CVE

Carga de biblioteca insegura

Escalada de privilegios

Importante

CVE-2020-9724

Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE y, por lo tanto, se desconoce su score según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas y altas. Hasta la fecha tampoco se tiene conocimiento de actividad malintencionada en la red, ni de la disponibilidad de exploits que se aprovechen de alguna de estas vulnerabilidades.

Recursos afectados:

  • Acrobat DC para Windows y macOS. Versión009.20074 y anteriores.
  • Acrobat Reader DC para Windows y macOS. Versión 009.20074 y anteriores.
  • Acrobat 2020 para Windows y macOS. Versión 001.30002.
  • Acrobat Reader 2020 para Windows y macOS. Versión001.30002.
  • Acrobat 2017 para Windows y macOS. Versión 011.30171 y anteriores.
  • Acrobat Reader 2017 para Windows y macOS. Versión 011.30171 y anteriores.
  • Acrobat 2015 para Windows y macOS. Versión 006.30523 y anteriores.
  • Acrobat Reader 2015 para Windows y macOS. Versión 006.30523 y anteriores.
  • Lightroom Classic para Windows. Versión 2.0.10 y anteriores.

Solución a las vulnerabilidades:

  • Acrobat DC para Windows. Actualizar a la versión 012.20041.
  • Acrobat DC para macOS. Actualizar a la versión 012.20041.
  • Acrobat Reader DC para Windows. Actualizar a la versión 012.20041.
  • Acrobat Reader DC para macOS. Actualizar a la versión 012.20041.
  • Acrobat 2020 para Windows. Actualizar a la versión 001.30005.
  • Acrobat 2020 para macOS. Actualizar a la versión 001.30005.
  • Acrobat Reader 2020 para Windows. Actualizar a la versión 001.30005.
  • Acrobat Reader 2020 para macOS. Actualizar a la versión 001.30005.
  • Acrobat 2017 para Windows. Actualizar a la versión 011.30175.
  • Acrobat 2017 para macOS. Actualizar a la versión 011.30175.
  • Acrobat Reader 2017 para Windows. Actualizar a la versión 011.30175.
  • Acrobat Reader 2017 para macOS. Actualizar a la versión 011.30175.
  • Acrobat 2015 para Windows. Actualizar a la versión 006.30527.
  • Acrobat 2015 para macOS. Actualizar a la versión 006.30527.
  • Acrobat Reader 2015 para Windows. Actualizar a la versión 006.30527.
  • Acrobat Reader 2015 para macOS. Actualizar a la versión 006.30527.
  • Lightroom Classic para Windows. Actualizar a la versión 3.

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.

Referencias:

    Visto 336 veces

    Avda. Llano Castellano, 43
    28034 Madrid
    +34 917 281 504
    innotec.security


    InnoTec

    Sobre nosotros

    InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

    Ampliar información
    Presentación corporativa