CCN-CERT AV 18/21 Vulnerabilidades en Adobe

Cabecera
separador
Vulnerabilidades en Adobe

Fecha de publicación: 15/07/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades en productos Adobe.

Adobe ha lanzado actualizaciones de seguridad que corrigen 29 vulnerabilidades que afectan a múltiples de sus productos. Los fallos reportados afectan tanto a sistemas operativos Windows como macOS, y podrían permitir la ejecución de código de forma remota (RCE) o el acceso a información sensible en el contexto de seguridad del usuario conectado. Si bien no se conocen vulnerabilidades de tipo zero-day en el reporte correspondiente al mes de julio, Adobe aconseja a los clientes que actualicen a las últimas versiones lo antes posible, puesto que no se descarta la creación de exploits que en un futuro exploten estas vulnerabilidades.

A continuación, se exponen las 21 vulnerabilidades catalogadas por el fabricante como críticas clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto e identificador CVE asignado.

Adobe Acrobat y Adobe Reader:

Vulnerabilidades en Adobe Acrobat y Adobe Reader que podrían permitir la ejecución de código de forma remota y el acceso a información sensible en el contexto del usuario.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-35980

CVE-2021-28644

Acceso a información sensible

Path Traversal

CVE-2021-28643

Ejecución de código arbitrario

Error de procesos de código

CVE-2021-28642

Acceso a información sensible

Escritura fuera de límites

CVE-2021-28637

Acceso a información sensible

Lectura fuera de límites

CVE-2021-28638

Ejecución de código arbitrario

Desbordamiento de búfer

CVE-2021-28636

Ejecución de código arbitrario

Elemento de búsqueda no controlado

CVE-2021-28634

Ejecución de código arbitrario

Inyección SQL

CVE-2021-28635

CVE-2021-28639

CVE-2021-28640

CVE-2021-28641

CVE-2021-35981

CVE-2021-35983

Ejecución de código arbitrario

Use-after-free (uso de memoria previamente liberada)

 

Adobe Dimension:

Vulnerabilidad en Adobe Dimension que podría permitir la ejecución de código de forma remota en el contexto del usuario.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28595

Ejecución de código arbitrario

Lectura fuera de límites

 

Adobe Illustrator:

Vulnerabilidades en Adobe Illustrator que podrían permitir la ejecución de código de forma remota en el contexto del usuario.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28591

CVE-2021-28592

Ejecución de código arbitrario

Escritura fuera de límites

 

Adobe Framemaker:

Vulnerabilidad en Adobe Framemaker que podría permitir la ejecución de código de forma remota en el contexto del usuario.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28596

Ejecución de código arbitrario

Escritura fuera de límites

 

Adobe Bridge:

Vulnerabilidades en Adobe Bridge que podrían permitir la ejecución de código de forma remota en el contexto del usuario.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-35989

CVE-2021-35990

Ejecución de código arbitrario

Escritura fuera de límites

CVE-2021-35991

Ejecución de código arbitrario

Validación de datos de entrada incorrecta

Por el momento, la base de datos del NIST no ha registrado estas vulnerabilidades, por lo que todavía no se les ha asignado puntuación de criticidad según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas. Hasta la fecha, no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.

Recursos afectados:

  • Adobe Dimension versión 3.4 y anteriores en plataformas Windows y macOS.
  • Adobe Illustrator 2021 versión 25.2.3 y anteriores en plataformas Windows.
  • Adobe Framemaker versión 2019 Update 8 y anteriores en plataformas Windows.
  • Adobe Framemaker versión 2020 Update 1 y anteriores en plataformas Windows.
  • Adobe Acrobat DC y Adobe Reader DC versión 2021.005.20054 y anteriores en plataformas Windows y macOS.
  • Adobe Acrobat 2020 y Adobe Acrobat Reader 2020 versión 004.30005 y anteriores en plataformas Windows y macOS.
  • Adobe Acrobat 2017 y Adobe Acrobat Reader 2017 versión 2017.011.30197 y anteriores en plataformas Windows y macOS.
  • Adobe Bridge versión 11.0.2 y anteriores en plataformas Windows.

Solución a las vulnerabilidades:

  • Adobe Dimension actualizar a la versión 4.3.
  • Adobe Illustrator 2021 actualizar a la versión 3.
  • Adobe Framemaker 2019 actualizar a la versión Update 8 (hotfix).
  • Adobe Framemaker 2020 actualizar a la versión Update 2.
  • Adobe Acrobat DC actualizar a la versión 005.20058.
  • Adobe Acrobat Reader DC actualizar a la versión 005.20058.
  • Adobe Acrobat 2020 actualizar a la versión 004.30006.
  • Adobe Acrobat Reader 2020 actualizar a la versión 004.30006.
  • Adobe Acrobat 2017 actualizar a la versión 011.30199.
  • Adobe Acrobat Reader 2017 actualizar a la versión 011.30199.
  • Adobe Bridge actualizar a la versión 1.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe, aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT