Vulnerabilidades K2

Contacto

Viernes, 17 Junio 2022 14:06

Vulnerabilidades en productos Adobe

El CSIRT de Entelgy Innotec Security avisa de la publicación de varias vulnerabilidades que afectan a productos Adobe.

Nivel de peligrosidad: CRÍTICO.

Adobe ha lanzado actualizaciones de seguridad que corrigen 45 vulnerabilidades

relacionadas con varios de sus  productos. Detalla 40 vulnerabilidades clasificadas como críticas según el producto afectado, junto a una tabla que muestra el tipo de vulnerabilidad, impacto de la misma e identificador CVE asignado.

Adobe Character Animate. Vulnerabilidad que podría permitir ejecutar código de forma remota: 

CVE

Tipo de vulnerabilidad

Impacto

CVE-2022-30664

Escritura fuera de límites

Ejecución remota de código arbitrario

Adobe InCopy. Vulnerabilidades en Adobe InCopy que podrían permitir ejecutar código de forma remota: 

CVE

Tipo de vulnerabilidad

Impacto

CVE-2022-30650

Desbordamiento de búfer

Ejecución remota de código arbitrario

CVE-2022-30651

Lectura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30652

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30653

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30654

Desbordamiento de búfer

Ejecución remota de código arbitrario

CVE-2022-30655

Use After Free

Ejecución remota de código arbitrario

CVE-2022-30656

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30657

Use After Free

Ejecución remota de código arbitrario

Adobe Bridge. Vulnerabilidades en Adobe Bridge que podrían permitir ejecutar código de forma remota y la escritura arbitraria en el sistema de archivos: 

CVE

Tipo de vulnerabilidad

Impacto

CVE-2022-28839

Escritura fuera de los límites

Ejecución remota de código arbitrario

CVE-2022-28840

Escritura fuera de los límites

Escritura arbitraria en el sistema de archivos

CVE-2022-28841

Validación incorrecta de las

entradas

Ejecución remota de código arbitrario

CVE-2022-28842

User After Free

Ejecución remota de código arbitrario

CVE-2022-28843

Validación incorrecta de las

entradas

Ejecución remota de código arbitrario

CVE-2022-28844

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-28845

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-28846

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-28847

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-28848

Validación incorrecta de las

entradas

Ejecución remota de código arbitrario

CVE-2022-28849

User After Free

Ejecución remota de código arbitrario

Adobe Illustrator. Vulnerabilidades en Adobe Illustrator que podrían permitir ejecutar código de forma remota:

CVE

Tipo de vulnerabilidad

Impacto

CVE-2022-30637

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30638

Validación incorrecta de las

entradas

Ejecución remota de código arbitrario

CVE-2022-30639

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30640

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30641

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30642

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30643

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30644

Use After Free

Ejecución remota de código arbitrario

CVE-2022-30645

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30646

Validación incorrecta de las

entradas

Ejecución remota de código arbitrario

CVE-2022-30647

User After Free

Ejecución remota de código arbitrario

CVE-2022-30648

User After Free

Ejecución remota de código arbitrario

CVE-2022-30649

Escritura fuera de límites

Ejecución remota de código arbitrario

 

Adobe InDesign. Vulnerabilidades en Adobe InDesign que podrían permitir ejecutar código de forma remota:

 

CVE

Tipo de vulnerabilidad

Impacto

 CVE-2022-30658

Desbordamiento de búfer

Ejecución remota de código arbitrario

 CVE-2022-30659

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30661

Desbordamiento de búfer

Ejecución remota de código arbitrario

CVE-2022-30662

Escritura fuera de límites

Ejecución remota de código arbitrario

CVE-2022-30663

Escritura fuera de límites

Escritura fuera de límites Ejecución

CVE-2022-30665

Escritura fuera de límites

Escritura fuera de límites Ejecución

CVE-2022-30660

Escritura fuera de límites

Escritura fuera de límites Ejecución

Recursos afectados: 

  • Adobe Animate. 2021:Versión 21.0.11. 2022:Versión 22.0.6.
  • Adobe Bridge. Versión 12.0.2.
  • Adobe Illustrator. Versión 26.3.1. Versión 25.4.6.
  • Adobe InDesign. Versión 17.3. Versión 16.4.2.
  • Adobe InCopy. Versión 17.3. Versión 16.4.2.

Solución a las vulnerabilidades:

Desde la compañía se recomienda actualizar a las nuevas versiones de los diferentes productos Adobe a través de los enlaces que se ofrecen a continuación:

  • Adobe Animate:
    • 2021: actualizar a la versión 21.0.11 en sistemas Windows y MacOS.
    • 2022: actualizar a la versión 22.0.6 en sistemas Windows y MacOS.
  • Adobe Bridge:

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

S5 Box