Adobe ha lanzado actualizaciones de seguridad que corrigen ocho vulnerabilidades en múltiples productos de Adobe. Las vulnerabilidades afectan a sistemas operativos Windows, macOS  y Linux, y podrían permitir a un atacante la ejecución de código remoto (RCE), una escalada de privilegios dentro del sistema y la revelación de información sensible en el contexto de seguridad del usuario conectado.

A continuación, se exponen las 8 vulnerabilidades clasificadas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto, criticidad e identificador CVE asignado:

Adobe Photoshop:

Vulnerabilidad crítica en Adobe Photoshop 2021 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Adobe Illustrator:

Vulnerabilidad crítica detectada en Adobe Illustrator 2020 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Adobe Animate:

Vulnerabilidad crítica en Adobe Animate que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Adobe Campaign Classic:

Vulnerabilidad crítica encontrada en Adobe Campaign Classic que podría permitir la revelación de información sensible en el contexto de seguridad del usuario actual.

Adobe InCopy:

Vulnerabilidad crítica en Adobe InCopy que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Adobe Captivate:

Vulnerabilidad crítica en Adobe Captivate 2019 que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Adobe Bridge:

Vulnerabilidad crítica en Adobe Bridge que podría permitir la ejecución remota de código en el contexto de seguridad del usuario actual.

Por el momento la base de datos del NIST no ha registrado puntuación de criticidad para estos CVE, por lo tanto, se desconoce su score según la escala CVSSv3. No obstante, Adobe ha calificado estas vulnerabilidades como críticas y altas. Hasta la fecha tampoco se tiene conocimiento de actividad malintencionada en la red, ni de la disponibilidad de exploits que se aprovechen de alguna de estas vulnerabilidades.

Recursos afectados:

• Adobe Photoshop para Windows y macOS. Versión 1 y anteriores.
• Adobe Illustrator para Windows y macOS. Versión 25 y anteriores.
• Adobe Animate para Windows y macOS. Versión 21 y anteriores.
• Adobe Campaign Classic para Windows y Linux. Versión 3.1 y anteriores.
• Adobe InCopy para Versión 15.1.3 y anteriores.
• Adobe Captivate para Versión 11.5.1.499 y anteriores.
• Adobe Bridge para Windows y macOS. Versión 11 y anteriores.

Solución a las vulnerabilidades:

• Adobe Photoshop: Actualizar a la versión 1.11
• Adobe Illustrator: Actualizar a la versión 1
• Adobe Animate: Actualizar a la versión 0.2
• Adobe Campaign Classic: Actualizar a la versión 3.3
• Adobe InCopy: Actualizar a la versión 0
• Adobe Captivate: Actualizar a la versión Hotfix
• Adobe Bridge: Actualizar a la versión 0

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones para bloquear posibles ataques en instalaciones sin parchear.

Referencias:

• Security updates available for Adobe Photoshop | APSB21-01
• Security Updates Available for Adobe Illustrator | APSB21-02
• Security updates available for Adobe Animate | APSB21-03
• Security updates available for Adobe Campaign Classic | APSB21-04
• Security Update Available for Adobe InCopy | APSB21-05
• Security hotfix available for Adobe Captivate | APSB21-06
• Security Updates Available for Adobe Bridge | APSB21-07