Fecha de publicación: 13/05/2021 Nivel de peligrosidad: CRÍTICO
El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades en productos Adobe.
Adobe ha publicado actualizaciones de seguridad que corrigen 44 vulnerabilidades que afectan a múltiples de sus productos. Los fallos reportados afectan tanto a sistemas operativos Windows como macOS, y podrían permitir la ejecución de código de forma remota (RCE), una escalada de privilegios dentro del sistema y la revelación de información sensible en el contexto de seguridad del usuario conectado.
Entre los fallos notificados destaca la vulnerabilidad de tipo zero-day en Adobe Acrobat y Adobe Reader al que se le ha asignado el CVE-2021-28550 y que aprovecha un error de tipo Use-After-Free (uso de memoria previamente liberada, pudiendo provocar una denegación de servicio, una filtración de memoria e incluso ejecución de código). Según fuentes de la propia compañía, se tiene constancia de que esta vulnerabilidad está siendo explotada en dispositivos Windows.
A continuación se exponen las 24 vulnerabilidades catalogadas por el fabricante como críticas, clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto e identificador CVE asignado.
Adobe Acrobat y Adobe Reader:
Vulnerabilidades en Adobe Acrobat y Adobe Reader que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
Adobe Experience Manager:
Vulnerabilidad crítica en Adobe Experience Manager que podría permitir la ejecución arbitraria de código JavaScript en el contexto del navegador.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-21084
|
Ejecución de código JavaScript en el contexto del navegador
|
Cross-site scripting
|
Adobe InDesign:
Vulnerabilidades críticas en Adobe InDesign que podrían permitir la ejecución de código de forma remota en el contexto del usuario actual.
Adobe Illustrator:
Vulnerabilidades críticas detectadas en Adobe illustrator que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
Adobe InCopy:
Vulnerabilidad crítica en Adobe InCopy que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-21090
|
Ejecución de código de forma remota
|
Path Traversal
|
Adobe Creative Cloud Desktop Application:
Vulnerabilidad en Adobe Creative Cloud Desktop Application que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-28581
|
Escalada de privilegios
|
Elemento de ruta de búsqueda incontrolada
|
Adobe After Effects:
Vulnerabilidad en Adobe After Effects que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-28571
|
Ejecución de código de forma remota
|
Inyección de comandos
|
Adobe Medium:
Vulnerabilidad en Adobe Medium que podría permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-28580
|
Ejecución de código de forma remota
|
Validación de entrada incorrecta
|
Adobe Animate:
Vulnerabilidades en Adobe Animate que podrían permitir la ejecución de código de forma remota en el contexto de seguridad del usuario actual.
CVE
|
Impacto
|
Tipo de vulnerabilidad
|
CVE-2021-28577
|
Ejecución de código de forma remota
|
Escritura fuera de límites
|
CVE-2021-28578
|
Ejecución de código de forma remota
|
Use-after-free (uso de memoria previamente liberada)
|
Por el momento, la base de datos del NIST no ha registrado estas vulnerabilidades, por lo que todavía no se les ha asignado puntuación de criticidad según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas.
Recursos afectados:
- Adobe Experience Manager versión 6.5.7.0 y anteriores en todas sus plataformas.
- Adobe Experience Manager versión 6.4.8.3 y anteriores en todas sus plataformas.
- Adobe InDesign versión 16.0 y anteriores en sistemas operativos Windows.
- Adobe Illustrator 2021 versión 25.2 y anteriores en sistemas operativos Windows.
- Adobe InCopy versión 16.0 y anteriores en sistemas operativos Windows.
- Adobe Acrobat DC y Adobe Acrobat Reader versión 2021.001.20150 y anteriores en sistemas operativos Windows.
- Adobe Acrobat DC y Adobe Acrobat Reader versión 2021.001.20149 y anteriores en sistemas operativos macOS.
- Adobe Acrobat 2020 y Adobe Acrobat Reader 2020 versión 2020.001.30020 y anteriores en sistemas operativos Windows y macOS.
- Adobe Acrobat 2017 y Adobe Acrobat Reader 2017 versión 2017.011.30194 y anteriores en sistemas operativos Windows y macOS.
- Adobe Creative Cloud versión 5.3 y anteriores en sistemas operativos Windows.
- Adobe After Effects versión 18.1 y anteriores en sistemas operativos Windows.
- Adobe Medium versión 2.4.5.331 y anteriores en Oculus.
- Adobe Animate versión 21.0.5 y anteriores en sistemas operativos Windows.
Solución a las vulnerabilidades:
- Adobe Acrobat DC actualizar a la versión 2021.001.20155.
- Adobe Acrobat Reader actualizar a la versión 2021.001.20155.
- Adobe Acrobat 2020 actualizar a la versión 2020.001.30025.
- Adobe Acrobat Reader 2020 actualizar a la versión 2020.001.30025.
- Adobe Acrobat 2017 actualizar a la versión 2017.011.30196.
- Adobe Acrobat Reader 2017 actualizar a la versión 2017.011.30196.
- Adobe Experience Manager actualizar a la versión 6.5.8.0.
- Adobe Experience Manager actualizar a la versión 6.4.8.4.
- Adobe InDesign actualizar a la versión 16.2.1.
- Adobe Illustrator 2021 actualizar a la versión 25.2.3.
- Adobe InCopy actualizar a la versión 16.2.1.
- Adobe Creative Cloud actualizar a la versión 5.4.3.
- Adobe After Effects actualizar a la versión 18.2.
- Adobe Medium actualizar a la versión 2.4.5.332.
- Adobe Animate actualizar a la versión 21.0.6.
Recomendaciones:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe, aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.
Referencias:
Atentamente,
Equipo CCN-CERT
|