Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB21-51

ID del boletín

Fecha de publicación

Prioridad

APSB21-51

13 de julio de 2021

2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas e importantes. Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.

 

Versiones afectadas

Producto

Seguimiento

Versiones afectadas

Plataforma

Priority rating                 

Acrobat DC 

Continuous 

2021.005.20054 y versiones anteriores

Windows y macOS

2

Acrobat Reader DC

Continuous 

2021.005.20054 y versiones anteriores

Windows y macOS

2

 

 

 

 

2

Acrobat 2020

Classic 2020           

2020.004.30005 y versiones anteriores

Windows y macOS

2

Acrobat Reader 2020

Classic 2020           

2020.004.30005 y versiones anteriores

Windows y macOS

2

 

 

 

 

2

Acrobat 2017

Classic 2017

2017.011.30197 y versiones anteriores

Windows y macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30197 y versiones anteriores

Windows y macOS

2

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Consulte los vínculos a los instaladores en las notas de la versión específica.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto

Seguimiento

Versiones actualizadas

Plataforma

Prioridad Nivel

Disponibilidad

Acrobat DC

Continuous

2021.005.20058       

Windows y macOS

2

Acrobat Reader DC

Continuous

2021.005.20058

Windows y macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006

Windows y macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006

Windows y macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199

Windows y macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199

Windows y macOS

2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Puntuación base CVSS 
Vector CVSS
Número CVE

Lectura fuera de límites 

(CWE-125

Pérdida de memoria Importante
3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Path traversal

(CWE-22)

Ejecución de código arbitraria
Crítico
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria 
Crítico
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Confusión de tipo

(CWE-843)

Ejecución de código arbitraria 
Crítico
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria 
Crítico
8,8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Escritura fuera de límites

(CWE-787)

Escritura arbitraria del sistema de archivos
Crítico
8,8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Lectura fuera de límites

(CWE-125)

Pérdida de memoria
Crítico
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Confusión de tipo

(CWE-843)

Lectura arbitraria del sistema de archivos
Importante
4,3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Desbordamiento de búfer basado en montón

(CWE-122)

Ejecución de código arbitraria 
Crítico
8,8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

Desreferencia de puntero NULO

(CWE-476)

Denegación de servicio de la aplicación
Importante
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Elemento de ruta de búsqueda no controlado

(CWE-427)

Ejecución de código arbitraria 
Crítico
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Inyección de comandos del sistema operativo

(CWE-78)

Ejecución de código arbitraria 
Crítico
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Uso posterior a su liberación 

(CWE-416)

Ejecución de código arbitraria 
Crítico
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Nipun Gupta , Ashfaq Ansari y Krishnakant Patil - CloudFuzz en colaboración con Trend Micro Zero Day Initiative (CVE-2021-35983) 
  • Xu Peng de UCAS y Wang Yanhao de QiAnXin Technology Research Institute en colaboración con Trend Micro Zero Day Initiative (CVE-2021-35981, CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Anónimo en colaboración con Trend Micro Zero Day Initiative (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) de Trend Micro Security Research en colaboración con Trend Micro Zero Day Initiative (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Revisiones

14 de julio de 2021: Se actualizaron los agradecimientos para CVE-2021-28640.

15 de julio de 2021: Se actualizaron los agradecimientos para CVE-2021-35981.

29 de julio de 2021: Se actualizó la puntuación base del CVSS y el vector CVSS para CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 de julio de 2021: Se actualizó el impacto de vulnerabilidad, la gravedad, la puntuación base del CVSS y el vector CVSS para CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644



 

 


For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea