Boletín de seguridad de Adobe Acrobat y Reader | APSB19-41
ID del boletín Fecha de publicación Prioridad
APSB41-19 13 de agosto de 2019 2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan vulnerabilidades importantes. Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.    

Versiones afectadas

Estas actualizaciones solucionan vulnerabilidades importantes del software. Adobe asignará los siguientes niveles de prioridad a estas actualizaciones:

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC  Continuous 

2019.012.20034 y versiones anteriores  macOS
Acrobat DC  Continuous  2019.012.20035 y versiones anteriores Windows
Acrobat Reader DC Continuous

2019.012.20034 y versiones anteriores  macOS
Acrobat Reader DC Continuous  2019.012.20035 y versiones anteriores  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 y versiones anteriores   macOS
Acrobat DC  Classic 2017 2017.011.30143 y versiones anteriores Windows
Acrobat Reader DC Classic 2017 2017.011.30142 (y versiones anteriores) macOS
Acrobat Reader DC Classic 2017 2017.011.30143 y versiones anteriores Windows
       
Acrobat DC  Classic 2015 2015.006.30497 y versiones anteriores  macOS
Acrobat DC  Classic 2015 2015.006.30498 y versiones anteriores Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 y versiones anteriores  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 y versiones anteriores Windows

Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.

Si tiene alguna duda sobre Acrobat Reader DC, acceda a la página de preguntas frecuentes Acrobat Reader de DC
.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continuous 2019.012.20036 Windows y macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows y macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows y macOS 2

Windows

macOS


Acrobat Reader DC Classic 2017 2017.011.30144 Windows y macOS 2

Windows

macOS


           
Acrobat DC Classic 2015 2015.006.30499 Windows y macOS 2

Windows

macOS


Acrobat Reader DC Classic 2015 2015.006.30499 Windows y macOS 2

Windows

macOS


Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE

Lectura fuera de límites   

 

 

Divulgación de información   

 

 

Importante   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Escritura fuera de límites   

 

 

Ejecución arbitraria de código    

 

 

Importante  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Inyección de comandos  Ejecución arbitraria de código   Importante  CVE-2019-8060

Uso posterior a su liberación   

 

 

Ejecución arbitraria de código     

 

 

Importante 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057
CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

Desbordamiento de pila 

 

 

Ejecución arbitraria de código     

 

 

Importante 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Error del búfer  Ejecución arbitraria de código       Importante   CVE-2019-8048
Doble liberación  Ejecución arbitraria de código      Importante    CVE-2019-8044 
Desbordamiento de enteros Divulgación de información Importante 

CVE-2019-8099

CVE-2019-8101

Revelación de IP interna Divulgación de información Importante  CVE-2019-8097
Confusión de tipo Ejecución arbitraria de código   Importante  CVE-2019-8019 

Desreferencia de puntero que no es de confianza

 

 

Ejecución arbitraria de código 

 

 

Importante 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:     

  • Dhanesh Kizhakkinan de FireEye Inc. (CVE-2019-8066) 

  • Xu Peng y Su Purui, de TCA/SKLCS Institute of Software Chinese Academy of Sciences y Codesafe Team de Legendsec en Qi'anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 

  • (A.K.) Karim Zidani, investigador de seguridad independiente; https://imAK.xyz/ (CVE-2019-8097)

  • Colaborador anónimo de Trend Micro Zero Day Initiative (CVE-2019-8033, CVE-2019-8037) 

  • BUGFENSE (programas Bug Bounty anónimos) https://bugfense.io (CVE-2019-8015) 

  • Haikuo Xie, de Baidu Security Lab en colaboración con Trend Micro Zero Day Initiative (CVE-2019-8035) 

  • Wei Lei, de STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 

  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) y Liao Bangjie(@b1acktrac3), de Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 

  • Ke Liu, de Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 

  • Haikuo Xie, de Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 

  • ktkitty (https://ktkitty.github.io) en colaboración con Trend Micro Zero Day Initiative (CVE-2019-8014) 

  • Mat Powell, de Trend Micro Zero Day Initiative (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 

  • Mateusz Jurczyk, de Google Project Zero (CVE-2019-8041, CVE-2019-8042, CVE-2019-8043, CVE-2019-8044, CVE-2019-8045, CVE-2019-8046, CVE-2019-8047, CVE-2019-8048, CVE-2019-8049, CVE-2019-8050, CVE-2019-8016, CVE-2019-8017)

  • Michael Bourque (CVE-2019-8007) 

  • peternguyen en colaboración con Trend Micro Zero Day Initiative (CVE-2019-8013, CVE-2019-8034) 

  • Simon Zuckerbraun, de Trend Micro Zero Day Initiative (CVE-2019-8027) 

  • Steven Seeley, de Trend Micro Zero Day Initiative (CVE-2019-8019) 

  • Steven Seeley (mr_me), de Source Incite en colaboración con iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 

  • willJ en colaboración con Trend Micro Zero Day Initiative (CVE-2019-8040, CVE-2019-8052) 

  • Esteban Ruiz (mr_me), de Source Incite en colaboración con iDefense Labs(https://vcp.idefense.com/) (CVE-2019-8002) 

  • Bo Qu, de Palo Alto Networks, y Heige, de Knownsec 404 Security Team (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 

  • Zhaoyan Xu y Hui Gao, de Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 

  • Lexuan Sun y Hao Cai de Palo Alto Networks (CVE-2019-8025) 

  • Bit, de STARLabs en colaboración con Trend Micro Zero Day Initiative (CVE-2019-8038, CVE-2019-8039) 

Revisiones

14 de agosto de 2019: Acknoledgement añadido a CVE -2019-8017 y CVE -2019-8016.

22 de agosto de 2019: Id actualizada del CVE -2019-7832 a CVE -2019-8066.