Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB21-09

ID del boletín

Fecha de publicación

Prioridad

APSB21-09

09 de febrero de 2021

1

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas e importantes. Su explotación podría dar lugar a la Ejecución de código arbitraria en el contexto del usuario actual.

Adobe ha recibido el aviso de que se ha explotado CVE-2021-21017 en ataques limitados dirigidos a usuarios de Adobe Reader en Windows.

Versiones afectadas

Producto

Seguimiento

Versiones afectadas

Plataforma

Acrobat DC 

Continuous 

2020.013.20074 y versiones anteriores          

Windows y macOS

Acrobat Reader DC

Continuous 

2020.013.20074 y versiones anteriores          

Windows y macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 y versiones anteriores

Windows y macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 y versiones anteriores

Windows y macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 y versiones anteriores          

Windows y macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 y versiones anteriores          

Windows y macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Consulte los vínculos a los instaladores en las notas de la versión específica.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto

Seguimiento

Versiones actualizadas

Plataforma

Nivel de prioridad

Disponibilidad

Acrobat DC

Continuous

2021.001.20135       

Windows y macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows y macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020 

Windows y macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020 

Windows y macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows y macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows y macOS

1

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Desbordamiento del búfer
Denegación de servicio de la aplicación
Importante
CVE-2021-21046
Desbordamiento de búfer basado en montón
Ejecución de código arbitraria
Crítico
CVE-2021-21017
Path traversal
Ejecución de código arbitraria
Crítico
CVE-2021-21037
Desbordamiento de enteros
Ejecución de código arbitraria
Crítico
CVE-2021-21036
Control de acceso incorrecto
Escalada de privilegios
Crítico
CVE-2021-21045
Lectura fuera de límites
Escalada de privilegios
Importante

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Uso posterior a su liberación
Divulgación de información
Importante
CVE-2021-21061
Escritura fuera de límites
Ejecución de código arbitraria
Crítico

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Desbordamiento del búfer
Ejecución de código arbitraria
Crítico

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Desreferencia de puntero NULO
Divulgación de información
Importante
CVE-2021-21057
Validación incorrecta de la entrada
Divulgación de información
Importante
CVE-2021-21060
Uso posterior a su liberación
Ejecución de código arbitraria
Crítico

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Falta soporte para comprobación de integridad
Omisión de la función de seguridad Importante

CVE-2021-28545

CVE-2021-28546

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes. 

  • Información anónima (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari y Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng de UCAS y Wang Yanhao de QiAnXin Technology Research Institute en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer en colaboración con Trend Micro Zero Day Initiative (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann de CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
  • 360政企安全漏洞研究院 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • CodeMaster en Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu de Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu de Palo Alto Networks, Heige (SuperHei) de Knwonsec 404 Team (CVE-2021-21059)
  • Ken Hsu y Bo Qu de Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu y Zhibin Zhang de Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk de Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka y Jörg Schwenk, cátedra de seguridad de datos y redes, Universidad Ruhr de Bochum (CVE-2021-28545, CVE-2021-28546)

Revisiones

10 de febrero de 2021: agradecimientos actualizados para CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 de marzo de 2021: agradecimientos actualizados para CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 de marzo de 2021: detalles añadidos para CVE-2021-21086, CVE-2021-21088 y CVE-2021-21089.

26 de marzo de 2021: detalles añadidos para CVE-2021-28545 y CVE-2021-28546.

29 de septiembre de 2021: se añadió información a CVE-2021-40723





 

 

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea