Boletín de seguridad de Adobe
Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader | APSB19-07
ID del boletín Fecha de publicación Prioridad
APSB19-07 12 de febrero de 2019 2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan las vulnerabilidades críticas e importantes. Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.    

Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC  Continuous 
2019.010.20069 y versiones anteriores 
Windows y macOS
Acrobat Reader DC Continuous
2019.010.20069 y versiones anteriores Windows y macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 y versiones anteriores Windows y macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 y versiones anteriores Windows y macOS
       
Acrobat DC  Classic 2015 2015.006.30464 y versiones anteriores  Windows y macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 y versiones anteriores  Windows y macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.  

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continuous 2019.010.20091 Windows y macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20091
Windows y macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows y macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows y macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows y macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows y macOS 2 Windows

macOS

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Errores de búfer Ejecución arbitraria de código  Crítico 

CVE-2019-7020

CVE-2019-7085

Fuga de datos (sensible) Divulgación de información Crítico  CVE-2019-7089
Doble liberación Ejecución arbitraria de código  Crítico  CVE-2019-7080
Desbordamiento de enteros Divulgación de información Crítico  CVE-2019-7030
Lectura fuera de límites Divulgación de información Importante

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Evasión de seguridad Escalación de privilegios Crítico 

CVE-2018-19725

CVE-2019-7041

Escritura fuera de límites Ejecución arbitraria de código  Crítico 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Confusión de tipo Ejecución arbitraria de código   Crítico

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Desreferencia de puntero que no es de confianza Ejecución arbitraria de código    Crítico

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Uso posterior a su liberación  Ejecución arbitraria de código   Crítico 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Sebastian Apelt  a través de Zero Day Initiative de Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri a través de Zero Day Initiative de Trend Micro (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao y Zhenjie Jia de Qihoo 360 Vulcan Team (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean en colaboración con iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic de Cisco Talos. (CVE-2019-7039)

  • Colaborador anónimo de Zero Day Initiative de Trend Micro (CVE-2019-7077)

  • Gal De Leon de Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-7078)

  • kdot en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-7049)

  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell de Zero Day Initiative de Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon y Netanel Ben-Simon de Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley a través de Zero Day Initiative de Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) de Source Incite en colaboración con iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng y Su Purui de TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia de Qihoo 360 Vulcan Team (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang del Chengdu Security Response Center de Qihoo 360 Technology Co. Ltd. en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-7079)

  • Bo Qu de Palo Alto Networks y Heige de Knownsec 404 Security Team (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang de Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng de Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao de Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu de Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He de Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)
  • Wei Lei de STARLabs (CVE-2019-7035)

Revisiones

1 de abril de 2019: Referencia a CVE-2019-7035 añadida a la sección Reconocimientos