Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader | APSB20-67
ID del boletín Fecha de publicación Prioridad
APSB20-67 martes, 3 de noviembre de 2020 2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan vulnerabilidades críticas, importantes y moderadas. Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual. 


Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC  Continuous 

2020.012.20048 y versiones anteriores          
Windows y macOS
Acrobat Reader DC Continuous  2020.012.20048 y versiones anteriores          
Windows y macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 y versiones anteriores
Windows y macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 y versiones anteriores
Windows y macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 y versiones anteriores          
Windows y macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 y versiones anteriores          
Windows y macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continuous 2020.013.20064 Windows y macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.013.20064
Windows y macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows y macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows y macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows y macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows y macOS 2

Windows

macOS

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Desbordamiento de búfer basado en montón
Ejecución arbitraria de código           
Crítico 

CVE-2020-24435

Control de acceso incorrecto Ampliación de privilegios local 
Importante
CVE-2020-24433
Validación incorrecta de la entrada Ejecución arbitraria de JavaScript
Importante
CVE-2020-24432
Omisión de validación de firma
Mínimo (corrección de defensa en profundidad)
Moderado
CVE-2020-24439
Omisión de verificación de firma Ampliación de privilegios local
Importante 
CVE-2020-24429
Validación incorrecta de la entrada Divulgación de información   
Importante 
CVE-2020-24427
Omisión de la función de seguridad Inyección de biblioteca dinámica
Importante 
CVE-2020-24431
Escritura fuera de límites   
Ejecución arbitraria de código       
Crítico 
CVE-2020-24436
Lectura fuera de límites   
Divulgación de información   
Moderado

CVE-2020-24426

CVE-2020-24434

Condición de carrera Ampliación de privilegios local
Importante 
CVE-2020-24428
Uso posterior a su liberación     
Ejecución arbitraria de código       
Crítico 

CVE-2020-24430

CVE-2020-24437

Uso posterior a su liberación
Divulgación de información
Moderado
CVE-2020-24438

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:    

  • Kimiya en colaboración con Trend Micro Zero Day Initiative (CVE-2020-24434, CVE-2020-24436)
  • Mark Vincent Yason (@MarkYason) en colaboración con Trend Micro Zero Day Initiative (CVE-2020-24426, CVE-2020-24438)
  • Yuebin Sun(@yuebinsun) de Tencent Security Xuanwu Lab (CVE-2020-24439)
  • Thijs Alkemade de Computest Research Division (CVE-2020-24428, CVE-2020-24429)
  • Lasse Trolle Borup de Danish Cyber Defence (CVE-2020-24433)
  • Aleksandar Nikolic de Cisco Talos (CVE-2020-24435, CVE-2020-24437)
  • Haboob Labs.(CVE-2020-24427)
  • Hou JingYi (@hjy79425575) de Qihoo 360 CERT(CVE-2020-24431)
  • Alan Chang Enze de STAR Labs (CVE-2020-24430)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka y Jörg Schwenk de la Universidad Ruhr de Bochum, cátedra de seguridad de datos y redes (CVE-2020-24432)