ID del boletín
Última actualización el
8 oct. 2024
Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB24-57
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB24-57 |
13 de agosto de 2024 |
3 |
Resumen
Adobe ha publicado una actualización de seguridad de Adobe Acrobat y Reader para Windows y macOS. Esta actualización soluciona vulnerabilidades críticas e importantes. El aprovechamiento de esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código, la escalada de privilegios y la pérdida de memoria.
Adobe sabe que CVE-2024-39383 tiene una demostración conceptual conocida que podría provocar el bloqueo de Adobe Acrobat y Reader. Adobe no tiene constancia de que este problema se explote en ataques.
Versiones afectadas
|
Seguimiento |
Versiones afectadas |
Plataforma |
|
|
Acrobat DC |
Continuous |
24.002.20991 y versiones anteriores |
Windows y macOS |
|
Acrobat Reader DC |
Continuous |
24.002.20991 y versiones anteriores |
Windows y macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30123 y versiones anteriores |
Windows y macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30636 y versiones anteriores(Windows) |
Windows y macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30636 y versiones anteriores (Windows) |
Windows y macOS |
Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.
Si tiene alguna duda sobre Acrobat Reader DC, acceda a la página de preguntas frecuentes Acrobat Reader DC.
Solución
Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:
Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.
Para los administradores de TI (entornos administrados):
Consulte los vínculos a los instaladores en las notas de la versión específica.
Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Seguimiento |
Versiones actualizadas |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|
|
Acrobat DC |
Continuous |
24.002.21005 |
Windows y macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.002.21005 |
Windows y macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30159 |
Windows y macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30655 |
Windows y macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30655 |
Windows y macOS |
3 |
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Puntuación base CVSS | Vector CVSS | Número CVE |
| Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39383
|
| Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica | 8.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2024-39422 |
| Escritura fuera de los límites (CWE-787) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39423 |
| Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39424 |
| Verificación incorrecta de la firma criptográfica (CWE-347) |
Ampliación de privilegios |
Crítica | 7.5 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39425 |
| Acceso a la ubicación de memoria una vez finalizado el almacenamiento en búfer (CWE-788) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39426 |
| Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41830 |
| Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41831 |
| Time-of-check Time-of-use (TOCTOU) Race Condition (CWE-367) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-39420 |
| Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-41832 |
| Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41833 |
| Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41834 |
| Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2024-41835 |
| Uso posterior a su liberación (CWE-416) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-45107 |
Reconocimientos
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Cisco Talos (ciscotalos): CVE-2024-41830, CVE-2024-41832, CVE-2024-41835, CVE-2024-39420
- Colaborador anónimo de Trend Micro Zero Day Initiative - CVE-2024-39422, CVE-2024-39426, CVE-2024-41831, CVE-2024-41833, CVE-2024-41834, CVE-2024-45107
- Defence Tech Security: CVE-2024-39425
- Haifei Li swf EXPMON y Check Point Research: CVE-2024-39383
- Mark Vincent Yason (markyason.github.io) en colaboración con Trend Micro Zero Day Initiative: CVE-2024-39424
- Mat Powell de Trend Micro Zero Day Initiative: CVE-2024-39423
Revisiones:
18 de septiembre de 2024: Se ha añadido un comentario a CVE-2024-39383
4 de septiembre de 2024: Añadido CVE-2024-45107
3 de septiembre de 2024: Se ha añadido el CVE-2024-39420
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
