Adobe ha publicado actualizaciones de seguridad para abordar las vulnerabilidades de gravedad crítica que afectan a Adobe Acrobat y Reader para Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos vulnerables.

En total, la compañía abordó hoy 14 fallas de seguridad que afectan a los dos productos, 10 de ellas calificadas como fallas de gravedad críticas o importantes.

Estos errores pueden permitir la ejecución de código arbitrario, escalamiento de privilegios local, divulgación de información, ejecución arbitraria de JavaScript e inyección de biblioteca dinámica.

Adobe clasificó las actualizaciones de seguridad como actualizaciones de prioridad 2, lo que significa que abordan vulnerabilidades sin exploits públicos en productos que «históricamente han estado en riesgo elevado».

La lista completa de vulnerabilidades reparadas hoy  está disponible en la tabla incluida a continuación, junto con sus calificaciones de gravedad y números CVE asignados.

Categoría de vulnerabilidadImpacto de la vulnerabilidadGravedadNúmero CVE
Desbordamiento de búfer basado en montón    Ejecución de código arbitrario     Crítico CVE-2020-24435
Control de acceso inadecuadoEscalada de privilegios local ImportanteCVE-2020-24433
Validación de entrada incorrectaEjecución arbitraria de JavaScriptImportanteCVE-2020-24432
Omisión de validación de firmaMínimo (corrección de defensa en profundidad)ModerarCVE-2020-24439
Omisión de verificación de firmaEscalada de privilegios localImportante CVE-2020-24429
Validación de entrada incorrectaDivulgación de información   Importante CVE-2020-24427
Omisión de funciones de seguridadInyección de biblioteca dinámicaImportante CVE-2020-24431
Escritura fuera de límites   Ejecución de código arbitrario       Crítico CVE-2020-24436
Lectura fuera de límites   Divulgación de información   ModerarCVE-2020-24426
CVE-2020-24434
Condición de carreraEscalada de privilegios localImportante CVE-2020-24428
Use-after-free     Ejecución de código arbitrario       Crítico CVE-2020-24430
CVE-2020-24437
Use-after-freeDivulgación de informaciónModerarCVE-2020-24438

Adobe recomienda a los clientes que actualicen los productos vulnerables a las últimas versiones lo antes posible para bloquear los ataques que podrían provocar la explotación de instalaciones sin parches.

Dependiendo de sus preferencias, los usuarios pueden actualizar sus productos Adobe Acrobat y Reader a las últimas versiones parcheadas utilizando uno de los siguientes enfoques:

  • Los usuarios pueden actualizar sus instalaciones de productos manualmente seleccionando Ayuda> Buscar actualizaciones.
  • Los productos se actualizarán automáticamente, sin requerir la intervención del usuario, cuando se detecten actualizaciones.
  • El instalador completo de Acrobat Reader se puede descargar desde el Centro de descarga de Acrobat Reader.

Los administradores de TI también pueden implementar las actualizaciones de seguridad en entornos administrados usando los instaladores empresariales disponibles a través del servidor FTP público de Adobe  o usando soluciones de administración remota de Windows / macOS.

El mes pasado, Ado recibió un parche de 18 errores de seguridad críticos que afectan a diez de sus productos Windows y macOS que podrían explotarse para ejecutar código arbitrario.

Los productos de software parcheados por Adobe en octubre incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo.

En octubre, la compañía también abordó una vulnerabilidad crítica de ejecución remota de código de Adobe Flash Player  que podría explotarse simplemente visitando un sitio web creado con fines malintencionados.

Fuente y redacción: bleepingcomputer.com

Compartir