CCN-CERT AV 16/21 Vulnerabilidades en Adobe

Cabecera
separador
Vulnerabilidades en Adobe

Fecha de publicación: 13/05/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades en productos Adobe.

Adobe ha publicado actualizaciones de seguridad que corrigen 44 vulnerabilidades que afectan a múltiples de sus productos. Los fallos reportados afectan tanto a sistemas operativos Windows como macOS, y podrían permitir la ejecución de código de forma remota (RCE), una escalada de privilegios dentro del sistema y la revelación de información sensible en el contexto de seguridad del usuario conectado.

Entre los fallos notificados destaca la vulnerabilidad de tipo zero-day en Adobe Acrobat y Adobe Reader al que se le ha asignado el CVE-2021-28550 y que aprovecha un error de tipo Use-After-Free (uso de memoria previamente liberada, pudiendo provocar una denegación de servicio, una filtración de memoria e incluso ejecución de código). Según fuentes de la propia compañía, se tiene constancia de que esta vulnerabilidad está siendo explotada en dispositivos Windows.

A continuación se exponen las 24 vulnerabilidades catalogadas por el fabricante como críticas, clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto e identificador CVE asignado.

Adobe Acrobat y Adobe Reader:

Vulnerabilidades en Adobe Acrobat y Adobe Reader que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28560

Ejecución de código de forma remota

Desbordamiento de búfer

CVE-2021-28557

Divulgación de información

Lectura fuera de límites

CVE-2021-28564

Ejecución de código de forma remota

Escritura fuera de límites

CVE-2021-28565

Ejecución de código de forma remota

Lectura fuera de límites

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Ejecución de código de forma remota

Escritura fuera de límites

CVE-2021-28562

CVE-2021-28553

Ejecución de código de forma remota

Use-after-free (uso de memoria previamente liberada)

Adobe Experience Manager:

Vulnerabilidad crítica en Adobe Experience Manager que podría permitir la ejecución arbitraria de código JavaScript en el contexto del navegador.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-21084

Ejecución de código JavaScript en el contexto del navegador

Cross-site scripting

Adobe InDesign:

Vulnerabilidades críticas en Adobe InDesign que podrían permitir la ejecución de código de forma remota en el contexto del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-21098

CVE-2021-21099

CVE-2021-21043

Ejecución de código de forma remota

Escritura fuera de límites

Adobe Illustrator:

Vulnerabilidades críticas detectadas en Adobe illustrator que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-21101

Ejecución de código de forma remota

Escritura fuera de límites

CVE-2021-21103

CVE-2021-21104

CVE-2021-21105

Ejecución de código de forma remota

Corrupción de memoria

CVE-2021-21102

Ejecución de código de forma remota

Path Traversal

Adobe InCopy:

Vulnerabilidad crítica en Adobe InCopy que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-21090

Ejecución de código de forma remota

Path Traversal

Adobe Creative Cloud Desktop Application:

Vulnerabilidad en Adobe Creative Cloud Desktop Application que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28581

Escalada de privilegios

Elemento de ruta de búsqueda incontrolada

Adobe After Effects:

Vulnerabilidad en Adobe After Effects que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28571

Ejecución de código de forma remota 

Inyección de comandos

Adobe Medium:

Vulnerabilidad en Adobe Medium que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28580

Ejecución de código de forma remota 

Validación de entrada incorrecta

Adobe Animate:

Vulnerabilidades en Adobe Animate que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.

CVE

Impacto

Tipo de vulnerabilidad

CVE-2021-28577

Ejecución de código de forma remota 

Escritura fuera de límites

CVE-2021-28578

Ejecución de código de forma remota 

Use-after-free (uso de memoria previamente liberada)

Por el momento, la base de datos del NIST no ha registrado estas vulnerabilidades, por lo que todavía no se les ha asignado puntuación de criticidad según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas.

Recursos afectados:

  • Adobe Experience Manager versión 6.5.7.0 y anteriores en todas sus plataformas.
  • Adobe Experience Manager versión 6.4.8.3 y anteriores en todas sus plataformas.
  • Adobe InDesign versión 16.0 y anteriores en sistemas operativos Windows.
  • Adobe Illustrator 2021 versión 25.2 y anteriores en sistemas operativos Windows.
  • Adobe InCopy versión 16.0 y anteriores en sistemas operativos Windows.
  • Adobe Acrobat DC y Adobe Acrobat Reader versión 2021.001.20150 y anteriores en sistemas operativos Windows.
  • Adobe Acrobat DC y Adobe Acrobat Reader versión 2021.001.20149 y anteriores   en sistemas operativos macOS.
  • Adobe Acrobat 2020 y Adobe Acrobat Reader 2020 versión 2020.001.30020 y anteriores  en sistemas operativos Windows y macOS.
  • Adobe Acrobat 2017 y Adobe Acrobat Reader 2017 versión 2017.011.30194 y anteriores  en sistemas operativos Windows y macOS.
  • Adobe Creative Cloud versión 5.3 y anteriores en sistemas operativos Windows.
  • Adobe After Effects versión 18.1 y anteriores en sistemas operativos Windows.
  • Adobe Medium versión 2.4.5.331 y anteriores en Oculus.
  • Adobe Animate versión 21.0.5 y anteriores en sistemas operativos Windows.

Solución a las vulnerabilidades:

  • Adobe Acrobat DC actualizar a la versión 2021.001.20155.
  • Adobe Acrobat Reader actualizar a la versión 2021.001.20155.
  • Adobe Acrobat 2020 actualizar a la versión 2020.001.30025.
  • Adobe Acrobat Reader 2020 actualizar a la versión 2020.001.30025.
  • Adobe Acrobat 2017 actualizar a la versión 2017.011.30196.
  • Adobe Acrobat Reader 2017 actualizar a la versión 2017.011.30196.
  • Adobe Experience Manager actualizar a la versión 6.5.8.0.
  • Adobe Experience Manager actualizar a la versión 6.4.8.4.
  • Adobe InDesign actualizar a la versión 16.2.1.
  • Adobe Illustrator 2021 actualizar a la versión 25.2.3.
  • Adobe InCopy actualizar a la versión 16.2.1.
  • Adobe Creative Cloud actualizar a la versión 5.4.3.
  • Adobe After Effects actualizar a la versión 18.2.
  • Adobe Medium actualizar a la versión 2.4.5.332.
  • Adobe Animate actualizar a la versión 21.0.6.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe, aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT