Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Acrobat y Reader  | APSB22-01

ID del boletín

Fecha de publicación

Prioridad

APSB22-01

11 de enero de 2022

2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan  varias vulnerabilidades críticas, importantes y moderadas. El aprovechamiento de esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código, la pérdida de memoria, la denegación del servicio de aplicaciones,  la omisión de la función de seguridad y la ampliación de privilegios. 

Versiones afectadas

Producto

Seguimiento

Versiones afectadas

Plataforma

Acrobat DC 

Continuous 

21.007.20099 y versiones anteriores

Windows

Acrobat Reader DC

Continuous 


21.007.20099 y versiones anteriores
 

Windows

Acrobat DC 

Continuous 

21.007.20099 y versiones anteriores
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 y versiones anteriores
     

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30017 y versiones anteriores  

Windows y macOS

Acrobat Reader 2020

Classic 2020           

20.004.30017 y versiones anteriores 

Windows y macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  y versiones anteriores          

Windows y macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  y versiones anteriores        
  

Windows y macOS

Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.

Si tiene alguna duda sobre Acrobat Reader DC, acceda a la página de preguntas frecuentes Acrobat Reader de DC.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Consulte los vínculos a los instaladores en las notas de la versión específica.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto

Seguimiento

Versiones actualizadas

Plataforma

Nivel de prioridad

Disponibilidad

Acrobat DC

Continuous

21.011.20039

Windows y macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows y macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.004.30020

Windows y macOS     

2

Acrobat Reader 2020

Classic 2020           

20.004.30020

Windows y macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows y macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows y macOS

2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Puntuación base CVSS Vector CVSS Número CVE
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria  Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Exposición de información (CWE-200)
Ampliación de privilegios Moderada 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Desbordamiento de búfer basado en pila (CWE-121) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Acceso a puntero no inicializado (CWE-824) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Escritura fuera de los límites (CWE-787) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Desbordamiento de búfer basado en montón (CWE-122) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Desbordamiento de búfer basado en montón (CWE-122) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Desbordamiento de enteros o wraparound (CWE-190) Ejecución de código arbitraria Crítica 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Validación incorrecta de la entrada (CWE-20) Denegación de servicio de la aplicación Importante 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Uso posterior a su liberación (CWE-416) Denegación de servicio de la aplicación Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Violación de los principios de diseño seguro (CWE-657) Omisión de la función de seguridad Moderado 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Lectura fuera de los límites (CWE-125) Pérdida de memoria Moderado 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Exposición de información (CWE-200)
Ampliación de privilegios
Moderada 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Desreferencia de puntero NULO (CWE-476) Denegación de servicio de la aplicación Moderado 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Desreferencia de puntero NULO (CWE-476) Denegación de servicio de la aplicación Moderado 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Lectura fuera de los límites (CWE-125) Pérdida de memoria Moderado 3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Lectura fuera de los límites (CWE-125) Ejecución de código arbitraria Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Escritura fuera de los límites (CWE-787) Ejecución de código arbitraria Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Uso posterior a su liberación (CWE-416) Ampliación de privilegios Moderado 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Uso posterior a su liberación (CWE-416) Ejecución de código arbitraria Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Acceso a la ubicación de memoria una vez finalizado el almacenamiento en búfer (CWE-788) Pérdida de memoria Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Escritura fuera de los límites (CWE-787) Ejecución de código arbitraria Crítica 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:   

  • Ashfaq Ansari y Krishnakant Patil - HackSys Inc, en colaboración con Trend Micro Zero Day Initiative (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu de Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU mediante TianfuCup (CVE-2021-44704)
  • StakLeader mediante TianfuCup (CVE-2021-44705)
  • bee13oy de Kunlun Lab mediante TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile mediante TianfuCup (CVE-2021-44707)
  • Jaewon Min y Aleksandar Nikolic de Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) y Steven Seeley de Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain de Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Anónimo en colaboración con Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Revisiones:

12 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-44706

13 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-45064. Se han añadido detalles de CVE para CVE-2021-44702 y CVE-2021-44739

17 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-44706

 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea