Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB21-55

ID del boletín

Fecha de publicación

Prioridad

APSB21-55

14 de septiembre de 2021

2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas, importantes y moderadas. Su explotación podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.

 

Versiones afectadas

Producto

Seguimiento

Versiones afectadas

Plataforma

Acrobat DC 

Continuous 

2021.005.20060 y versiones anteriores          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 y versiones anteriores          

Windows

Acrobat DC 

Continuous 

2021.005.20058 y versiones anteriores          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 y versiones anteriores          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 y versiones anteriores

Windows y macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 y versiones anteriores

Windows y macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  y versiones anteriores          

Windows y macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  y versiones anteriores          

Windows y macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Consulte los vínculos a los instaladores en las notas de la versión específica.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto

Seguimiento

Versiones actualizadas

Plataforma

Nivel de prioridad

Disponibilidad

Acrobat DC

Continuous

2021.007.20091 

Windows y macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows y macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows y macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows y macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows y macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows y macOS

2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Puntuación base CVSS 
Vector CVSS
Número CVE

Confusión de tipo (CWE-843)

Ejecución de código arbitraria

Crítico 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Desbordamiento de búfer basado en montón

(CWE-122)

Ejecución de código arbitraria

Crítico  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Exposición de información

(CWE-200)

Lectura arbitraria del sistema de archivos

Moderado

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Lectura fuera de límites

(CWE-125)

Pérdida de memoria

Crítico   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Lectura fuera de límites

(CWE-125)

Pérdida de memoria

Importante

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Lectura fuera de límites

(CWE-125)

Lectura arbitraria del sistema de archivos

Moderado

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Escritura fuera de límites

(CWE-787)

Pérdida de memoria

Crítico 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Desbordamiento de búfer basado en pila 

(CWE-121)

Ejecución de código arbitraria

Crítico   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Elemento de ruta de búsqueda no controlado

(CWE-427)

Ejecución de código arbitraria

Importante 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria

Importante

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria

Crítico 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Desreferencia de puntero NULO (CWE-476)

Pérdida de memoria

Importante

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Desreferencia de puntero NULO (CWE-476)

Denegación de servicio de la aplicación

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Desreferencia de puntero NULO (CWE-476)

Denegación de servicio de la aplicación

Importante

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Desreferencia de puntero NULO (CWE-476)

Denegación de servicio de la aplicación

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria
Crítica   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Uso posterior a su liberación

(CWE-416)

Ejecución de código arbitraria
Crítica   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Mark Vincent Yason (@MarkYason) en colaboración con Trend Micro Zero Day Initiative (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob Labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (superficie profunda<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng de UCAS y Ying Lingyun de QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) y Andrei Stefan (CVE-2021-39863)
  • Qiao Li de Baidu Security Lab en colaboración con Trend Micro Zero Day Initiative (CVE-2021-39858)

Revisiones

20 de septiembre de 2021: Agradecimiento actualizado para CVE-2021-35982.

28 de septiembre de 2021: Agradecimiento actualizado para CVE-2021-39863.

5 de octubre de 2021: Se ha actualizado la puntuación base de CVSS, el vector CVSS y la gravedad para CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Se han añadido datos y agradecimientos para CVE-2021-40725 y CVE-2021-40726.

18 de enero de 2022: Agradecimiento actualizado para CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea