Boletín de seguridad de Adobe
Actualizaciones de seguridad de Adobe Acrobat y Reader disponibles | APSB18-02
ID del boletín Fecha de publicación Prioridad
APSB18-02 13 de febrero de 2018 2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades graves que podrían permitir que un intruso se hiciera con el control del sistema afectado. 

Versiones afectadas

Producto Versiones afectadas Plataforma
Acrobat DC (seguimiento continuo) 2018.009.20050 y versiones anteriores 
Windows y Macintosh
Acrobat Reader DC (seguimiento continuo) 2018.009.20050 y versiones anteriores 
Windows y Macintosh
     
Acrobat 2017 2017.011.30070 y versiones anteriores Windows y Macintosh
Acrobat Reader 2017 2017.011.30070 y versiones anteriores Windows y Macintosh
     
Acrobat DC (seguimiento clásico) 2015.006.30394 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30394 y versiones anteriores
Windows y Macintosh

Para obtener más información sobre Acrobat DC, visita la página de preguntas frecuentes sobre Acrobat DC.

Para obtener más información sobre Acrobat Reader DC, visita la página de preguntas frecuentes sobre Acrobat Reader DC.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizan automáticamente cuando se detectan actualizaciones
    sin que ser requiera la intervención de los usuarios.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instala las actualizaciones según tu sistema preferido, como AIP-GPO, bootstrapper y SCUP/SCCM
    en Windows o Apple Remote Desktop y SSH en Macintosh.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC (seguimiento continuo) 2018.011.20035
Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader DC (seguimiento continuo) 2018.011.20035
Windows y Macintosh 2 Centro de descargas
         
Acrobat 2017 2017.011.30078 Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows y Macintosh 2 Windows
Macintosh
         
Acrobat DC (seguimiento clásico) 2015.006.30413
Windows
2 Windows
Acrobat DC (seguimiento clásico) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30413
Windows 2 Centro de descargas
Acrobat Reader DC (seguimiento clásico) 2015.006.30416 Macintosh 2 Centro de descargas

Nota:

Tal y como se indica en el anuncio anterior, la asistencia para Adobe Acrobat 11.x y Adobe Reader 11.x finaliza el 15 de octubre de 2017.La versión 11.0.23 es la versión final de Adobe Acrobat 11.x y Adobe Reader 11.x. Adobe recomienda encarecidamente actualizar a las versiones más recientes de Adobe Acrobat DC y Adobe Acrobat Reader DC. La actualización a las versiones más recientes ofrece las últimas mejoras funcionales, así como medidas de seguridad mejoradas.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Omisión de mitigación de seguridad
Escalación de privilegios
Crítico CVE-2018-4872
Desbordamiento de pila
Ejecución de código arbitraria
Crítico

CVE-2018-4890, CVE-2018-4904, CVE-2018-4910, CVE-2018-4917 

Uso posterior a su liberación 
Ejecución de código arbitraria
Crítico CVE-2018-4888, CVE-2018-4892, CVE-2018-4902, CVE-2018-4911, CVE-2018-4913 
Escritura fuera de límites 
Ejecución de código arbitraria
Crítico CVE-2018-4879, CVE-2018-4895, CVE-2018-4898, CVE-2018-4901, CVE-2018-4915, CVE-2018-4916, CVE-2018-4918 
Lectura fuera de límites
Ejecución de código de forma remota Importante CVE-2018-4880, CVE-2018-4881, CVE-2018-4882, CVE-2018-4883, CVE-2018-4884, CVE-2018-4885, CVE-2018-4886, CVE-2018-4887, CVE-2018-4889, CVE-2018-4891, CVE-2018-4893, CVE-2018-4894, CVE-2018-4896, CVE-2018-4897, CVE-2018-4899, CVE-2018-4900, CVE-2018-4903, CVE-2018-4905, CVE-2018-4906, CVE-2018-4907, CVE-2018-4908, CVE-2018-4909, CVE-2018-4912, CVE-2018-4914 

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de
problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Aleksandar Nikolic, de Cisco Talos (CVE-2018-4901) 
  • Notificado de forma anónima a través de la iniciativa Zero Day de Trend Micro (CVE-2018-4915, CVE-2018-4913, CVE-2018-4911, CVE-2018-4910) 
  • Gal De Leon (CVE-2018-4900) 
  • Jaanus Kp Clarified Security, que colabora con la iniciativa Zero Day de Trend Micro (CVE-2018-4892, CVE-2018-4882) 
  • Ke Liu de Tercent Xuanwu LAB, que colabora con la iniciativa Zero Day de Trend Micro (CVE-2018-4905, CVE-2018-4904, CVE-2018-4891, CVE-2018-4890, CVE-2018-4889, CVE-2018-4887, CVE-2018-4886, CVE-2018-4885, CVE-2018-4883, CVE-2018-4884) 
  • Ke Liu de Tercent Xuanwu LAB  y willJ de Tencent PC Manager, que colaboran con la iniciativa Zero Day de Trend Micro (CVE-2018-4903) 
  • Ke Liu de Tencent Xuanwu LAB (CVE-2018-4906, CVE-2018-4917, CVE-2018-4918) 
  • Lin Wang de la Universidad de Beihang (CVE-2018-4879, CVE-2018-4899, CVE-2018-4896, CVE-2018-4895, CVE-2018-4893) 
  • Lin Wang de la Universidad de Beihang y willJ de Tencent PC Manager en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-4898) 
  • Lin Wang de la Universidad de Beihang y Steven Seeley de Source Incite en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-4894) 
  • riusksk del Departamento de plataformas de seguridad de Tencent, que colabora con la iniciativa Zero Day de Trend Micro (CVE-2018-4916, CVE-2018-4881, CVE-2018-4880) 
  • riusksk del Departamento de plataformas de seguridad de Tencent (CVE-2018-4908) 
  • Sebastian Apelt de siberas, que colabora con la iniciativa Zero Day de Trend Micro (CVE-2018-4888) 
  • willJ de Tencent PC Manager (CVE-2018-4897, CVE-2018-4907) 
  • willJ de Tencent PC Manager, que colabora con la iniciativa Zero Day de Trend Micro (CVE-2018-4914, CVE-2018-4912, CVE-2018-4909) 
  • XuPeng y HuangZheng de Baidu Security Lab (CVE-2018-4902) 

Revisiones

14 de febrero de 2018: se ha actualizado la tabla de agradecimientos.