Actualizaciones de seguridad de Adobe Acrobat y Reader disponibles | APSB17-36
ID del boletín Fecha de publicación Prioridad
APSB17-36 14 de noviembre de 2017 2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades importantes que podrían permitir que un intruso se hiciera con el control del sistema afectado.

Versiones afectadas

Producto Versiones afectadas Plataforma
Acrobat DC (seguimiento continuo) 2017.012.20098 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC (seguimiento continuo) 2017.012.20098 y versiones anteriores
Windows y Macintosh
     
Acrobat 2017 2017.011.30066 y versiones anteriores Windows y Macintosh
Acrobat Reader 2017 2017.011.30066 y versiones anteriores Windows y Macintosh
     
Acrobat DC (seguimiento clásico) 2015.006.30355 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30355 y versiones anteriores
Windows y Macintosh
     
Acrobat XI 11.0.22 y versiones anteriores Windows y Macintosh
Reader XI 11.0.22 y versiones anteriores Windows y Macintosh

Para obtener más información sobre Acrobat DC, visita la página de preguntas frecuentes sobre Acrobat DC.

Para obtener más información sobre Acrobat Reader DC, visita la página de preguntas frecuentes sobre Acrobat Reader DC.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizan automáticamente cuando se detectan actualizaciones
    sin que ser requiera la intervención de los usuarios.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instala las actualizaciones según tu sistema preferido, como AIP-GPO, bootstrapper y SCUP/SCCM
    en Windows o Apple Remote Desktop y SSH en Macintosh.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC (seguimiento continuo) 2018.009.20044
Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader DC (seguimiento continuo) 2018.009.20044
Windows y Macintosh 2 Centro de descargas
         
Acrobat 2017 2017.011.30068 Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows y Macintosh 2 Windows
Macintosh
         
Acrobat DC (seguimiento clásico) 2015.006.30392
Windows y Macintosh
2 Windows
Macintosh
Acrobat Reader DC (seguimiento clásico) 2015.006.30392 
Windows y Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows y Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows y Macintosh 2 Windows
Macintosh

Nota:

Tal y como se indica en el anuncio anterior, la asistencia para Adobe Acrobat 11.x y Adobe Reader 11.x finaliza el 15 de octubre de 2017.La versión 11.0.23 es la versión final de Adobe Acrobat 11.x y Adobe Reader 11.x. Adobe recomienda encarecidamente actualizar a las versiones más recientes de Adobe Acrobat DC y Adobe Acrobat Reader DC. La actualización a las versiones más recientes ofrece las últimas mejoras funcionales, así como medidas de seguridad mejoradas.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Acceso de puntero no iniciado Ejecución de código de forma remota
Crítico CVE-2017-16377
CVE-2017-16378
Uso posterior a su liberación Ejecución de código de forma remota
Crítico CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Acceso del búfer con valor de longitud incorrecto Ejecución de código de forma remota Crítico CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Sobrelectura del búfer Ejecución de código de forma remota Crítico CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Desbordamiento/subdesbordamiento de búfer Ejecución de código de forma remota Crítico CVE-2017-16368
Desbordamiento de pila Ejecución de código de forma remota Crítico CVE-2017-16383
Validación incorrecta del índice de array Ejecución de código de forma remota Crítico

CVE-2017-16391
CVE-2017-16410

Lectura fuera de límites Ejecución de código de forma remota Crítico CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Escritura fuera de límites Ejecución de código de forma remota Crítico CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Evasión de seguridad Descargas involuntarias (drive-by-download) Importante
CVE-2017-16361
CVE-2017-16366
Evasión de seguridad Divulgación de información Importante CVE-2017-16369
Evasión de seguridad Ejecución de código de forma remota
Crítico
CVE-2017-16380
Desbordamiento de la pila Consumo excesivo de recursos Importante CVE-2017-16419
Confusión de tipo Ejecución de código de forma remota Crítico CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Desreferencia de puntero que no es de confianza Ejecución de código de forma remota Crítico CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de
problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu, de Xuanwu LAB de Tencent, en colaboración con Zero Day Initiative de Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Lui, de Xuanwu LAB de Tencent (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) de Offensive Security, en colaboración con la iniciativa Zero Day Initiative Trend Micro (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic de Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) del departamento de plataforma de seguridad de Tencent (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang de la universidad de Beihang (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ de Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren de NCC Group Plc (CVE-2017-16380)
  • Gal De Leon de Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari, de proyecto Srishti que colabora con iDefense Labs (CVE-2017-16368)