Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB17-24
ID del boletín Fecha de publicación Prioridad
APSB17-24 8 de agosto de 2017 2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades críticas e importantes que podrían permitir que un intruso se hiciera con el control del sistema afectado. 

Versiones afectadas

Estas actualizaciones solucionan vulnerabilidades críticas del software. Adobe asignará los siguientes niveles de prioridad a estas actualizaciones:

Producto Versiones afectadas Plataforma
Acrobat DC (seguimiento continuo) 2017.009.20058 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC (seguimiento continuo) 2017.009.20058 y versiones anteriores
Windows y Macintosh
     
Acrobat 2017 2017.008.30051 y versiones anteriores Windows y Macintosh
Acrobat Reader 2017 2017.008.30051 y versiones anteriores Windows y Macintosh
     
Acrobat DC (seguimiento clásico) 2015.006.30306 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30306 y versiones anteriores
Windows y Macintosh
     
Acrobat XI 11.0.20 y versiones anteriores Windows y Macintosh
Reader XI 11.0.20 y versiones anteriores Windows y Macintosh

Para obtener más información sobre Acrobat DC, visita la página de preguntas frecuentes sobre Acrobat DC.

Para obtener más información sobre Acrobat Reader DC, visita la página de preguntas frecuentes sobre Acrobat Reader DC.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación
para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizan automáticamente cuando se detectan actualizaciones
    sin que ser requiera la intervención de los usuarios.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instala las actualizaciones según tu sistema preferido, como AIP-GPO, bootstrapper y SCUP/SCCM
    en Windows o Apple Remote Desktop y SSH en Macintosh.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC (seguimiento continuo) 2017.012.20098
Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader DC (seguimiento continuo) 2017.012.20098 Windows y Macintosh 2 Centro de descargas
         
Acrobat 2017 2017.011.30066 Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows y Macintosh 2 Windows
Macintosh
         
Acrobat DC (seguimiento clásico) 2015.006.30355
Windows y Macintosh
2 Windows
Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30355 
Windows y Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows y Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows y Macintosh 2 Windows
Macintosh

Nota:

La versión 11.0.22 está disponible para los usuarios afectados por la regresión funcional de los formularios XFA introducidos en la versión 11.0.21 (consulte esta página para obtener más información).  Las versiones 11.0.22 y 11.0.21 solucionan todas las vulnerabilidades de seguridad que aparecen en este boletín.    

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Números CVE
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-3016
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-3038
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-3113
Verificación insuficiente de la autenticidad de los datos Divulgación de información Importante CVE-2017-3115
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-3116
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-3117
Evasión de seguridad Divulgación de información Importante CVE-2017-3118
Daños de memoria Ejecución de código de forma remota Importante CVE-2017-3119
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-3120
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-3121
Daños de memoria Divulgación de información Importante CVE-2017-3122
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-3123
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-3124
Daños de memoria Divulgación de información Importante CVE-2017-11209
Daños de memoria Divulgación de información Importante CVE-2017-11210
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-11211
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11212
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11214
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11216
Daños de memoria Divulgación de información Importante CVE-2017-11217
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11218
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11219
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-11220
Confusión de tipo Ejecución de código de forma remota Crítico CVE-2017-11221
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11222
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11223
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11224
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11226
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11227
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11228
Evasión de seguridad Ejecución de código de forma remota Importante CVE-2017-11229
Daños de memoria Divulgación de información Importante CVE-2017-11230
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11231
Uso posterior a su liberación Divulgación de información Importante CVE-2017-11232
Daños de memoria Divulgación de información Importante CVE-2017-11233
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11234
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11235
Daños de memoria Divulgación de información Importante CVE-2017-11236
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11237
Daños de memoria Divulgación de información Crítico CVE-2017-11238
Daños de memoria Divulgación de información Crítico CVE-2017-11239
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-11241
Daños de memoria Divulgación de información Importante CVE-2017-11242
Daños de memoria Divulgación de información Importante CVE-2017-11243
Daños de memoria Divulgación de información Importante CVE-2017-11244
Daños de memoria Divulgación de información Importante CVE-2017-11245
Daños de memoria Divulgación de información Importante CVE-2017-11246
Daños de memoria Divulgación de información Importante CVE-2017-11248
Daños de memoria Divulgación de información Importante CVE-2017-11249
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11251
Daños de memoria Divulgación de información Crítico CVE-2017-11252
Uso posterior a su liberación Ejecución de código de forma remota Importante CVE-2017-11254
Daños de memoria Divulgación de información Importante CVE-2017-11255
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2017-11256
Confusión de tipo Ejecución de código de forma remota Crítico CVE-2017-11257
Daños de memoria Divulgación de información Importante CVE-2017-11258
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11259
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11260
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11261
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11262
Daños de memoria Ejecución de código de forma remota Importante CVE-2017-11263
Daños de memoria Divulgación de información Importante CVE-2017-11265
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11267
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11268
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11269
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11270
Daños de memoria Ejecución de código de forma remota Crítico CVE-2017-11271

Nota:

CVE-2017-3038 se solucionó en las versiones 2017.009.20044 y 2015.006.30306 (versión de abril de 2017), pero no se solucionó por completo en la versión 11.0.20.  Esta vulnerabilidad ya se ha solucionado por completo en la versión 11.0.21 (versión de agosto de 2017).  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de
problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • @vftable, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic, de Cisco Talos (CVE-2017-11263)
  • Alex Infuhr, de Cure53 (CVE -2017-11229)
  • Ashfaq Ansari, de proyecto Srishti (CVE-2017-11221)
  • Ashfaq Ansari, de proyecto Srishti, que colabora con el programa de contribución de vulnerabilidades iDefense (CVE -2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Informe anónimo a través de la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Muñoz, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3115)
  • Giwan Go, de STEALIEN & HIT, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-11228, CVE-2017-11230)
  • Heige (también conocida como SuperHei) (CVE-2017-11222)
  • Jaanus Kp, de Clarified Security, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp, de Clarified Security y Ashfaq Ansari, de proyecto Srishti, que colaboran con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-11231)
  • Jihui Lu de Tencent KeenLab (CVE-2017-3119)
  • kdot que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE -2017-11234, CVE -2017-11235, CVE -2017-11271)
  • Ke Liu de Tencent's Xuanwu LAB, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE -2017-3121, CVE -2017-3122, CVE -2017-11212, CVE -2017-11216, CVE -2017-11217, CVE -2017-11238, CVE -2017-11239, CVE -2017-11241, CVE -2017-11242, CVE -2017-11243, CVE -2017-11244, CVE -2017-11245, CVE -2017-11246, CVE -2017-11248, CVE -2017-11249, CVE -2017-11233, CVE -2017-11261, CVE -2017-11260, CVE -2017-11258, CVE -2017-11259, CVE -2017-11267, CVE -2017-11268, CVE -2017-11269, CVE -2017-11259, CVE -2017-11270, CVE -2017-11261)
  • Ke Liu de Tencent's Xuanwu LAB, que colabora con la iniciativa Zero Day Initiative de Trend Micro y Steven Seeley (mr_me) de Offensive Security (CVE -2017-11212, CVE -2017-11214, CVE -2017-11227)
  • Siberas, que colabora con el programa SecuriTeam Secure Disclosure de Beyond Security (CVE -2017-11254)
  • Richard Warren (CVE -2017-3118)
  • riusksk del Departamento de Plataformas de seguridad de Tencent (CVE-2017-3016)
  • Sebastian Apelt, siberas, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE -2017-11219, CVE -2017-11256, CVE -2017-11257)
  • Steven Seeley (mr_me) de Offensive Security, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE -2017-11209, CVE -2017-11210, CVE -2017-11232, CVE -2017-11255, CVE -2017-3123, CVE -2017-3124)
  • Steven Seeley, que colabora con el programa SecuriTeam Secure Disclosure de Beyond Security (CVE -2017-11220)
  • Steven Seeley (CVE -2017-11262)
  • Sushan (CVE -2017-11226)
  • Toan Pham (CVE-2017-3116)

Revisiones

29 de agosto de 2017: la tabla Solución se ha actualizado para agregar las nuevas actualizaciones que están disponibles desde el 29 de agosto.  Estas actualizaciones solucionan la regresión funcional de los formularios XFA que ha afectado a algunos usuarios.  Las versiones del 29 de agosto también solucionan la vulnerabilidad de seguridad CVE -2017-11223.  

La vulnerabilidad CVE-2017-11223 se había solucionado en la actualización del 8 de agosto (versiones 2017.012.20093, 2017.011.30059 y 2015.006.30352) pero, debido a una regresión funcional en dichas versiones, se han publicado revisiones de seguridad que revertían la solución de CVE-2017-11223. Las versiones del 29 de agosto solucionan la regresión y ofrecen una solución para la vulnerabilidad CVE-2017-11223. Para obtener más información, consulte esta entrada del blog.