Adobe ha publicado actualizaciones de seguridad para abordar las vulnerabilidades de gravedad crítica que afectan a Adobe Acrobat y Reader para Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos vulnerables.
En total, la compañía abordó hoy 14 fallas de seguridad que afectan a los dos productos, 10 de ellas calificadas como fallas de gravedad críticas o importantes.
Estos errores pueden permitir la ejecución de código arbitrario, escalamiento de privilegios local, divulgación de información, ejecución arbitraria de JavaScript e inyección de biblioteca dinámica.
Adobe clasificó las actualizaciones de seguridad como actualizaciones de prioridad 2, lo que significa que abordan vulnerabilidades sin exploits públicos en productos que «históricamente han estado en riesgo elevado».
La lista completa de vulnerabilidades reparadas hoy está disponible en la tabla incluida a continuación, junto con sus calificaciones de gravedad y números CVE asignados.
Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Número CVE |
---|---|---|---|
Desbordamiento de búfer basado en montón | Ejecución de código arbitrario | Crítico | CVE-2020-24435 |
Control de acceso inadecuado | Escalada de privilegios local | Importante | CVE-2020-24433 |
Validación de entrada incorrecta | Ejecución arbitraria de JavaScript | Importante | CVE-2020-24432 |
Omisión de validación de firma | Mínimo (corrección de defensa en profundidad) | Moderar | CVE-2020-24439 |
Omisión de verificación de firma | Escalada de privilegios local | Importante | CVE-2020-24429 |
Validación de entrada incorrecta | Divulgación de información | Importante | CVE-2020-24427 |
Omisión de funciones de seguridad | Inyección de biblioteca dinámica | Importante | CVE-2020-24431 |
Escritura fuera de límites | Ejecución de código arbitrario | Crítico | CVE-2020-24436 |
Lectura fuera de límites | Divulgación de información | Moderar | CVE-2020-24426 CVE-2020-24434 |
Condición de carrera | Escalada de privilegios local | Importante | CVE-2020-24428 |
Use-after-free | Ejecución de código arbitrario | Crítico | CVE-2020-24430 CVE-2020-24437 |
Use-after-free | Divulgación de información | Moderar | CVE-2020-24438 |
Adobe recomienda a los clientes que actualicen los productos vulnerables a las últimas versiones lo antes posible para bloquear los ataques que podrían provocar la explotación de instalaciones sin parches.
Dependiendo de sus preferencias, los usuarios pueden actualizar sus productos Adobe Acrobat y Reader a las últimas versiones parcheadas utilizando uno de los siguientes enfoques:
- Los usuarios pueden actualizar sus instalaciones de productos manualmente seleccionando Ayuda> Buscar actualizaciones.
- Los productos se actualizarán automáticamente, sin requerir la intervención del usuario, cuando se detecten actualizaciones.
- El instalador completo de Acrobat Reader se puede descargar desde el Centro de descarga de Acrobat Reader.
Los administradores de TI también pueden implementar las actualizaciones de seguridad en entornos administrados usando los instaladores empresariales disponibles a través del servidor FTP público de Adobe o usando soluciones de administración remota de Windows / macOS.
El mes pasado, Ado recibió un parche de 18 errores de seguridad críticos que afectan a diez de sus productos Windows y macOS que podrían explotarse para ejecutar código arbitrario.
Los productos de software parcheados por Adobe en octubre incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo.
En octubre, la compañía también abordó una vulnerabilidad crítica de ejecución remota de código de Adobe Flash Player que podría explotarse simplemente visitando un sitio web creado con fines malintencionados.