ID del boletín
Última actualización el
26/12/2022
Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB21-55
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB21-55 |
14 de septiembre de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas, importantes y moderadas. Su explotación podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.
Versiones afectadas
|
Seguimiento |
Versiones afectadas |
Plataforma |
|
|
Acrobat DC |
Continuous |
2021.005.20060 y versiones anteriores |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 y versiones anteriores |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 y versiones anteriores |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 y versiones anteriores |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 y versiones anteriores |
Windows y macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 y versiones anteriores |
Windows y macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 y versiones anteriores |
Windows y macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 y versiones anteriores |
Windows y macOS |
Solución
Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:
Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.
Para los administradores de TI (entornos administrados):
Consulte los vínculos a los instaladores en las notas de la versión específica.
Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Seguimiento |
Versiones actualizadas |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows y macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows y macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30015 |
Windows y macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30015 |
Windows y macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows y macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows y macOS |
2 |
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Puntuación base CVSS |
Vector CVSS |
Número CVE |
|---|---|---|---|---|---|
Confusión de tipo (CWE-843) |
Ejecución de código arbitraria |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Desbordamiento de búfer basado en montón (CWE-122) |
Ejecución de código arbitraria |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Exposición de información (CWE-200) |
Lectura arbitraria del sistema de archivos |
Moderado |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Lectura fuera de límites (CWE-125) |
Pérdida de memoria |
Crítico |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Lectura fuera de límites (CWE-125) |
Pérdida de memoria |
Importante |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Lectura fuera de límites (CWE-125) |
Lectura arbitraria del sistema de archivos |
Moderado |
3.3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Escritura fuera de límites (CWE-787) |
Pérdida de memoria |
Crítico |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Desbordamiento de búfer basado en pila (CWE-121) |
Ejecución de código arbitraria |
Crítico |
7.7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Elemento de ruta de búsqueda no controlado (CWE-427) |
Ejecución de código arbitraria |
Importante |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitraria |
Importante |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitraria |
Crítico |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Desreferencia de puntero NULO (CWE-476) |
Pérdida de memoria |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Desreferencia de puntero NULO (CWE-476) |
Denegación de servicio de la aplicación |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Desreferencia de puntero NULO (CWE-476) |
Denegación de servicio de la aplicación |
Importante |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Desreferencia de puntero NULO (CWE-476) |
Denegación de servicio de la aplicación |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Mark Vincent Yason (@MarkYason) en colaboración con Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (superficie profunda<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng de UCAS y Ying Lingyun de QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) y Andrei Stefan (CVE-2021-39863)
- Qiao Li de Baidu Security Lab en colaboración con Trend Micro Zero Day Initiative (CVE-2021-39858)
Revisiones
20 de septiembre de 2021: Agradecimiento actualizado para CVE-2021-35982.
28 de septiembre de 2021: Agradecimiento actualizado para CVE-2021-39863.
5 de octubre de 2021: Se ha actualizado la puntuación base de CVSS, el vector CVSS y la gravedad para CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Se han añadido datos y agradecimientos para CVE-2021-40725 y CVE-2021-40726.
18 de enero de 2022: Agradecimiento actualizado para CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
