Nivel de Criticidad: CRÍTICO
Adobe ha publicado un boletín de seguridad (APSB20-05) para sus productos Adobe Acrobat y Reader en el que se incluyen 12 vulnerabilidades con una puntuación igual o superior a 7 (NIST - CVSSv2), que se detallan en la siguiente tabla:
CVE |
CVSSv2 |
ACCESO COMPLEJIDAD |
AUTENTICACIÓN IMPACTO |
DESCRIPCIÓN |
10.0 |
Remoto/Baja |
NO/Completo |
Adobe Acrobat y Reader tiene una vulnerabilidad de desbordamiento de pila. La explotación exitosa podría conducir a la ejecución de código arbitrario. |
|
10.0 10.0 |
Remoto/Baja Remoto/Baja |
NO/Completo NO/Completo |
Adobe Acrobat y Reader tienen una vulnerabilidad del tipo "Buffer error" (error del búfer). La explotación exitosa podría conducir a la ejecución de código arbitrario. |
|
10.0 10.0 10.0 -- 10.0 10.0 -- |
Remoto/Baja Remoto/Baja Remoto/Baja -- Remoto/Baja Remoto/Baja -- |
NO/Completo NO/Completo NO/Completo -- NO/Completo NO/Completo -- |
Adobe Acrobat y Reader tienen una vulnerabilidad del tipo "user after free" (escritura en memoria previamente liberada). La explotación exitosa podría conducir a la ejecución de código arbitrario. |
|
10.0 10.0 |
Remoto/Baja Remoto/Baja |
NO/Completo NO/Completo |
Adobe Acrobat y Reader tiene una vulnerabilidad de escalada de privilegios. La explotación exitosa de esta vulnerabilidad podría conducir a la escritura arbitraria del sistema de archivos |
Por el momento, Adobe no ha hecho públicos los detalles técnicos exactos sobre el origen de dichas vulnerabilidades, ni constan informes de explotación activa o abuso de este problema en la red. Además, cabe mencionar que las vulnerabilidades con CVE (CVE-2020-3748 y CVE-2020-3751) no han recibido ninguna puntuación según la escala CVSSv2 del NIST. Se incluyen en dicha tabla ya que es el propio fabricante quien las ha calificado como CRÍTICAS.
Por otro lado, Adobe ha publicado un boletín de seguridad (APSB20-06) para sus productos Adobe Flash Player en el que se incluye una vulnerabilidad. Dicha vulnerabilidad todavía no ha recibido puntuación en la base de datos del NIST. No obstante, es el propio fabricante quien califica esta vulnerabilidad como CRÍTICA.
CVE |
CVSSv2 |
ACCESO COMPLEJIDAD |
AUTENTICACIÓN IMPACTO |
DESCRIPCIÓN |
-- |
--- |
-- |
Adobe Flash Player tiene una vulnerabilidad de confusión de tipos. La explotación exitosa podría conducir a la ejecución de código arbitrario. |
Por el momento, Adobe no ha hecho públicos los detalles técnicos exactos sobre el origen de dicha vulnerabilidad, ni constan informes de explotación activa o abuso de este problema en la red.
Recursos afectados
Adobe Acrobat y Reader.
- Acrobat DC, versiones 2019.021.20061 y anteriores (Windows y MacOs).
- Acrobat Reader DC, versiones 2019.021.20061 y anteriores (Windows y MacOs).
- Acrobat 2017, versiones 2017.011.30156 y anteriores (Windows).
- Acrobat Reader 2017, versiones 2017.011.30156 y anteriores (MacOs).
- Acrobat 2015, versiones 2015.006.30508 y anteriores (Windows y MacOs).
- Acrobat Reader 2015, versiones 2015.006.30508 y anteriores (Windows y MacOs).
Adobe Flash Player.
- Adobe Flash Player Desktop Runtime versiones 32.0.0.321 y anteriores (Windows y MacOs).
- Adobe Flash Player Desktop Runtime versiones 32.0.0.314 y anteriores (Linux).
- Adobe Flash Player for Google Chrome versiones 32.0.0.321 y anteriores (Windows, MacOs, Linux y Chrome OS).
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 versiones 32.0.0.255 y anteriores (Windows 10 y 8.1).
Solución a la vulnerabilidad
Adobe Acrobat y Reader:
Adobe ya ha publicado nuevas versiones de los productos afectados que corrigen las vulnerabilidades. Las actualizaciones son accesibles a través de alguno de los siguientes métodos:
- Los usuarios pueden actualizar las instalaciones de sus productos manualmente seleccionando Ayuda> Buscar actualizaciones.
- Los productos se actualizarán automáticamente, sin requerir la intervención del usuario, cuando se detecten actualizaciones.
- El instalador completo de Acrobat Reader se puede descargar del Centro de descargas de Acrobat Reader.
Para administradores de TI (entornos gestionados):
- Descargar los instaladores empresariales desde ftp: //ftp.adobe.com/pub/adobe/, o consultar la versión específica de la nota de lanzamiento para ver los enlaces a los instaladores.
- Instalar actualizaciones a través de AIP-GPO, bootstrapper, SCUP / SCCM (Windows), o en macOS, Apple Remote Desktop y SSH.
Adobe Flash Player:
- Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a Adobe Flash Player 32.0.0.330 a través del mecanismo de actualización dentro del producto o visitando el Centro de descarga de Adobe Flash Player.
- La instalación de Adobe Flash Player con Google Chrome se actualizará automáticamente a la última versión de Google Chrome, que incluirá Adobe Flash Player 32.0.0.330 para Windows, macOS, Linux y Chrome OS.
- La instalación de Adobe Flash Player con Microsoft Edge e Internet Explorer 11 para Windows 10 y 8.1 se actualizará automáticamente a la última versión, que incluirá Adobe Flash Player 32.0.0.330.
- En caso de necesitar asistencia en la instalación, Adobe Flash Player pone a disposición de los usuarios la siguiente página de ayuda. Ayuda de Flash Reproductor.
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.