Vulnerabilidades K2

Contacto

Miércoles, 08 Enero 2020 09:42

Adobe avisa de seis nuevas vulnerabilidades en sus productos

Entelgy Innotec CERT avisa de la publicación de diversas vulnerabilidades altas y críticas en Adobe Acrobat y Reader.

Adobe ha publicado un boletín de seguridad (APSB19-55) para sus productos Adobe Acrobat y Reader en el que se incluyen 6 vulnerabilidades con una puntuación igual o superior a 7 (NIST - CVSSv2), que se detallan en la siguiente tabla:

CVE

CVSSv2

ACCESO

COMPLEJIDAD

AUTENTICACIÓN

IMPACTO

DESCRIPCIÓN

CVE-2019-16444

 7.5

 Remoto/Baja

NO/Parcial

Adobe Acrobat y Reader tiene una vulnerabilidad de Plantación binaria (escalada de privilegios de carpeta predeterminada). La explotación exitosa podría provocar una escala de privilegios.

CVE-2019-16450

10.0

Remoto/Baja

NO/Completo

Adobe Acrobat y Reader tiene una vulnerabilidad de escritura fuera de límites. La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2019-16445

CVE-2019-16448

10.0

10.0

Remoto/Baja

Remoto/Baja

NO/Completo

NO/Completo

Adobe Acrobat y Reader tienen una vulnerabilidad del tipo "user after free" (escritura en memoria previamente liberada). La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2019-16446

10.0

Remoto/Baja

NO/Completo

Adobe Acrobat y Reader tiene una vulnerabilidad del tipo "untrusted pointer dereference" al obtener valores de fuentes no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.

CVE-2019-16451

10.0

Remoto/Baja

NO/Completo

Adobe Acrobat y Reader tiene una vulnerabilidad de desbordamiento de pila. La explotación exitosa podría conducir a la ejecución de código arbitrario.

Recursos afectados

  • Acrobat DC, versiones 2019.021.20056 y anteriores (Windows y MacOs)
  • Acrobat Reader DC, versiones 2019.021.20056 y anteriores (Windows y MacOs)
  • Acrobat 2017, versiones 2017.011.30152 y anteriores (Windows)
  • Acrobat 2017, versiones 2017.011.30155 y anteriores (MacOS)
  • Acrobat Reader 2017, versiones 2017.011.30152 y anteriores (Windows y MacOs)
  • Acrobat 2015, versiones 2015.006.30505 y anteriores (Windows y MacOs)
  • Acrobat Reader 2015, versiones 2015.006.30505 y anteriores (Windows y MacOs)

Solución a la vulnerabilidad

Adobe ya ha publicado nuevas versiones de los productos afectados que corrigen las vulnerabilidades. Las actualizaciones son accesibles a través de alguno de los siguientes métodos:

  • Los usuarios pueden actualizar las instalaciones de sus productos manualmente seleccionando Ayuda> Buscar actualizaciones.
  • Los productos se actualizarán automáticamente, sin requerir la intervención del usuario, cuando se detecten actualizaciones.

Para administradores de TI (entornos gestionados):

  • Descargar los instaladores empresariales desde ftp: //ftp.adobe.com/pub/adobe/, o consultar la versión específica de la nota de lanzamiento para ver los enlaces a los instaladores.
  • Instalar actualizaciones a través de AIP-GPO, bootstrapper, SCUP / SCCM (Windows), o en macOS, Apple Remote Desktop y SSH.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

S5 Box