ID del boletín
Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB21-09
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB21-09 |
09 de febrero de 2021 |
1 |
Resumen
Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas e importantes. Su explotación podría dar lugar a la Ejecución de código arbitraria en el contexto del usuario actual.
Adobe ha recibido el aviso de que se ha explotado CVE-2021-21017 en ataques limitados dirigidos a usuarios de Adobe Reader en Windows.
Versiones afectadas
Seguimiento |
Versiones afectadas |
Plataforma |
|
Acrobat DC |
Continuous |
2020.013.20074 y versiones anteriores |
Windows y macOS |
Acrobat Reader DC |
Continuous |
2020.013.20074 y versiones anteriores |
Windows y macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 y versiones anteriores |
Windows y macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 y versiones anteriores |
Windows y macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 y versiones anteriores |
Windows y macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 y versiones anteriores |
Windows y macOS |
Solución
Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:
Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.
Para los administradores de TI (entornos administrados):
Consulte los vínculos a los instaladores en las notas de la versión específica.
Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Seguimiento |
Versiones actualizadas |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|
Acrobat DC |
Continuous |
2021.001.20135 |
Windows y macOS |
1 |
|
Acrobat Reader DC |
Continuous |
2021.001.20135 |
Windows y macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows y macOS |
1 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows y macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows y macOS |
1 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows y macOS |
1 |
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Número CVE |
---|---|---|---|
Desbordamiento del búfer |
Denegación de servicio de la aplicación |
Importante |
CVE-2021-21046 |
Desbordamiento de búfer basado en montón |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21017 |
Path traversal |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21037 |
Desbordamiento de enteros |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21036 |
Control de acceso incorrecto |
Escalada de privilegios |
Crítico |
CVE-2021-21045 |
Lectura fuera de límites |
Escalada de privilegios |
Importante |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
Uso posterior a su liberación |
Divulgación de información |
Importante |
CVE-2021-21061 |
Escritura fuera de límites |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
Desbordamiento del búfer |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
Desreferencia de puntero NULO |
Divulgación de información |
Importante |
CVE-2021-21057 |
Validación incorrecta de la entrada |
Divulgación de información |
Importante |
CVE-2021-21060 |
Uso posterior a su liberación |
Ejecución de código arbitraria |
Crítico |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
Falta soporte para comprobación de integridad |
Omisión de la función de seguridad | Importante | CVE-2021-28545 CVE-2021-28546 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes.
- Información anónima (CVE-2021-21017)
- Nipun Gupta, Ashfaq Ansari y Krishnakant Patil - CloudFuzz (CVE-2021-21041)
- Mark Vincent Yason (@MarkYason) en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
- Xu Peng de UCAS y Wang Yanhao de QiAnXin Technology Research Institute en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
- AIOFuzzer en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061, CVE-2021-21088)
- 360CDSRC en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
- Will Dormann de CERT/CC (CVE-2021-21045)
- Xuwei Liu (shellway) (CVE-2021-21046)
- 胖 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
- 360政企安全漏洞研究院 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
- 蚂蚁安全光年实验室基础研究小组 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
- CodeMaster en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
- Xinyu Wan (wxyxsx) (CVE-2021-21057)
- Haboob Labs (CVE-2021-21060)
- Ken Hsu de Palo Alto Networks (CVE-2021-21058)
- Ken Hsu de Palo Alto Networks, Heige (SuperHei) de Knwonsec 404 Team (CVE-2021-21059)
- Ken Hsu y Bo Qu de Palo Alto Networks (CVE-2021-21062)
- Ken Hsu y Zhibin Zhang de Palo Alto Networks (CVE-2021-21063)
- Mateusz Jurczyk de Google Project Zero (CVE-2021-21086)
- Simon Rohlmann, Vladislav Mladenov, Christian Mainka y Jörg Schwenk, cátedra de seguridad de datos y redes, Universidad Ruhr de Bochum (CVE-2021-28545, CVE-2021-28546)
Revisiones
10 de febrero de 2021: agradecimientos actualizados para CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.
10 de marzo de 2021: agradecimientos actualizados para CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021
17 de marzo de 2021: detalles añadidos para CVE-2021-21086, CVE-2021-21088 y CVE-2021-21089.
26 de marzo de 2021: detalles añadidos para CVE-2021-28545 y CVE-2021-28546.
29 de septiembre de 2021: se añadió información a CVE-2021-40723