Boletín de seguridad de Adobe Acrobat y Reader | APSB18-41
ID del boletín Fecha de publicación Prioridad
APSB18-41 11 de diciembre de 2018 2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan las vulnerabilidades críticas e importantes. Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.   

Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC  Continua
2019.008.20081 y versiones anteriores 
Windows 
Acrobat DC  Continua 2019.008.20080 y versiones anteriores macOS
Acrobat Reader DC Continua
2019.008.20081 y versiones anteriores Windows
Acrobat Reader DC Continua 2019.008.20080 y versiones anteriores macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 y versiones anteriores Windows
Acrobat 2017 Classic 2017 2017.011.30105 y versiones anteriores macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 y versiones anteriores Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 y versiones anteriores macOS
       
Acrobat DC  Classic 2015 2015.006.30457 y versiones anteriores  Windows
Acrobat DC  Classic 2015 2015.006.30456 y versiones anteriores  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 y versiones anteriores  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 y versiones anteriores  macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continua 2019.010.20064 Windows y macOS 2 Windows

macOS
Acrobat Reader DC Continua 2019.010.20064
Windows y macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows y macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows y macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows y macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows y macOS 2 Windows

macOS

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE

Errores de búfer

 

Ejecución arbitraria de código

 

Crítico

 

CVE-2018-15998

CVE-2018-15987

 

Desreferencia de puntero que no es de confianza

 

Ejecución arbitraria de código

 

 

 

Crítico

 

 

CVE-2018-16004

CVE-2018-19720

Evasión de seguridad

 

Escalación de privilegios

 

Crítico

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Uso posterior a su liberación

 

 

 

 

Ejecución arbitraria de código

 

 

 

 

Crítico

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Escritura fuera de límites 

 

 

 

 

Ejecución arbitraria de código

 

 

 

 

Crítico

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Desbordamiento de pila

 

 

 

 

Ejecución arbitraria de código

 

 

 

 

Crítico

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Lectura fuera de límites

 

 

 

 

Divulgación de información

 

 

 

 

Importante

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Desbordamiento de enteros

 

Divulgación de información

 

 

 

Importante

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Evasión de seguridad Divulgación de información Importante CVE-2018-16042

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Notificado de forma anónima por Zero Day Initiative de Trend Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu de Tencent Xuanwu Lab (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot de Zero Day Initiative de Trend Micro (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) de Source Incite a través de Zero Day Initiative de Trend Micro (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008)

  • Du Pingxin de NSFOCUS Security Team (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang de la Universidad de Beihang a través de Zero Day Initiative de Trend Micro (CVE-2018-16014)

  • guyio a través de Zero Day Initiative de Trend Micro (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng de Trend Micro Security Research a través de Zero Day Initiative de Trend Micro (CVE-2018-15985)

  • XuPeng de TCA/SKLCS Institute of Software Chinese Academy of Sciences y HuangZheng de Baidu Security Lab (CVE-2018-12830)

  • Linan Hao y Zhenjie Jia de Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Seeley a través de Zero Day Initiative de Trend Micro (CVE-2018-16008)

  • Roderick Schaefer a través de Zero Day Initiative de Trend Micro (CVE-2018-19713)

  • Lin Wang de la Universidad de Beihang (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe y Jorg Schwenk de la Universidad Ruhr de Bochum (CVE-2018-16042)

  • Aleksandar Nikolic de Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey a través de Zero Day Initiative de Trend Micro (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) a través de Zero Day Initiative de Trend Micro (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Queremos agradecer especialmente a Abdul Aziz Hariri de Zero Day Initiative de Trend Micro por su contribución de "defensa en profundidad" para endurecer las evasiones de las restricciones de la API de JavaScript (CVE-2018-16018)

  • AbdulAziz Hariri de Zero Day Initiative y Sebastian Apelt por sus contribuciones de "defensa en profundidad" para mitigar la superficie de ataque de la indexación Onix (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng de Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang de Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao y Qi Deng de Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao y Zhibin Zhang de Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu de Palo Alto Networks y Heige de Knownsec 404 Security Team (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)