Viernes, 15 January 2021 13:41

Vulnerabilidades en Adobe

El CSIRT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en productos Adobe.

Adobe ha lanzado actualizaciones de seguridad que corrigen ocho vulnerabilidades en múltiples productos de Adobe. Las vulnerabilidades afectan a sistemas operativos Windows, macOS  y Linux, y podrían permitir a un atacante la ejecución de código remoto (RCE), una escalada de privilegios dentro del sistema y la revelación de información sensible en el contexto de seguridad del usuario conectado.

A continuación, se exponen las 8 vulnerabilidades clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto, criticidad e identificador CVE asignado:

Adobe Photoshop:

Vulnerabilidad crítica en Adobe Photoshop 2021 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Desbordamiento de búfer

CVE-2021-21006

8.6

Ejecución de código

Adobe Illustrator:

Vulnerabilidad crítica detectada en Adobe Illustrator 2020 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Lectura fuera de límites

CVE-2021-21007

7.0

Ejecución de código

Adobe Animate:

Vulnerabilidad crítica en Adobe Animate que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Lectura fuera de límites

CVE-2021-21008

7.0

Ejecución de código

Adobe Campaign Classic:

Vulnerabilidad crítica encontrada en Adobe Campaign Classic que podría permitir la revelación de información sensible en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Falsificación de solicitudes de lado del servidor (SSRF)

CVE-2021-21009

8.6

Revelación de información sensible

Adobe InCopy:

Vulnerabilidad crítica en Adobe InCopy que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Lectura fuera de límites

CVE-2021-21010

7.0

Ejecución de código

Adobe Captivate:

Vulnerabilidad crítica en Adobe Captivate 2019 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Lectura fuera de límites

CVE-2021-21011

7.0

Escalada de privilegios

Adobe Bridge:

Vulnerabilidad crítica en Adobe Bridge que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Tipo de vulnerabilidad

CVE

Criticidad

Impacto

Lectura fuera de límites

CVE-2021-21012

CVE-2021-21013

7.8

Ejecución de código

Por el momento la base de datos del NIST no ha registrado puntuación de criticidad para estos CVE, por lo tanto, se desconoce su score según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas y altas. Hasta la fecha tampoco se tiene conocimiento de actividad malintencionada en la red, ni de la disponibilidad de exploits que se aprovechen de alguna de estas vulnerabilidades.

Recursos afectados:

  • Adobe Photoshop para Windows y macOS. Versión 1 y anteriores.
  • Adobe Illustrator para Windows y macOS. Versión 25 y anteriores.
  • Adobe Animate para Windows y macOS. Versión 21 y anteriores.
  • Adobe Campaign Classic para Windows y Linux. Versión 3.1 y anteriores.
  • Adobe InCopy para Versión 15.1.3 y anteriores.
  • Adobe Captivate para Versión 11.5.1.499 y anteriores.
  • Adobe Bridge para Windows y macOS. Versión 11 y anteriores.

 

Solución a las vulnerabilidades:

  • Adobe Photoshop: Actualizar a la versión 1.11
  • Adobe Illustrator: Actualizar a la versión 1
  • Adobe Animate: Actualizar a la versión 0.2
  • Adobe Campaign Classic: Actualizar a la versión 3.3
  • Adobe InCopy: Actualizar a la versión 0
  • Adobe Captivate: Actualizar a la versión Hotfix
  • Adobe Bridge: Actualizar a la versión 0

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.

Referencias:

Visto 169 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa