ID del boletín
Aviso de recomendación de seguridad para Adobe Acrobat y Reader | APSB23-01
|
Fecha de publicación |
Prioridad |
---|---|---|
Aviso de recomendación de seguridad para Adobe Acrobat y Reader | APSB23-01 |
10 de enero de 2023 |
3 |
Resumen
Adobe tiene previsto lanzar las actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS el 10 de enero de 2023.
Los usuarios también pueden consultar la información más reciente accediendo a la página web del Adobe Product Security Incident Response Team (PSIRT) a través de https://helpx.adobe.com/es/security.html
(Nota: Esta recomendación de seguridad se sustituirá por el boletín de seguridad cuando se lance la actualización).
Versiones afectadas
Estas actualizaciones solucionan vulnerabilidades críticas e importantes. El aprovechamiento de esta vulnerabilidad podría dar lugar a la denegación de servicio de la aplicación, la ejecución arbitraria de código, la escalada de privilegios y la pérdida de memoria.
Adobe asignará los siguientes niveles de prioridad a estas actualizaciones:
Seguimiento |
Versiones afectadas |
Plataforma |
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) y versiones anteriores |
Windows y macOS |
Acrobat Reader DC |
Continuous |
|
Windows y macOS |
|
|
||
Acrobat 2020 |
Classic 2020 |
20.005.30418 y versiones anteriores
|
Windows y macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 y versiones anteriores |
Windows y macOS |
Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.
--Para obtener más información sobre Acrobat DC de Adobe, visite https://helpx.adobe.com/acrobat/faq.html.
--Para obtener más información sobre Acrobat Reader DC de Adobe, visite https://helpx.adobe.com/reader/faq.html.
Solución
Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:
Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.
Para los administradores de TI (entornos administrados):
Consulte los vínculos a los instaladores en las notas de la versión específica.
Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Seguimiento |
Versiones actualizadas |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows y macOS |
3 |
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows y macOS |
3 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows y macOS |
3 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows y macOS |
3 |
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Puntuación base CVSS | Vector CVSS | Número CVE |
Desbordamiento de enteros o wraparound (CWE-190) |
Ejecución de código arbitraria |
Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
Lectura fuera de los límites (CWE-125) |
Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
Desreferencia de puntero NULO (CWE-476) |
Denegación de servicio de la aplicación |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
Desbordamiento de búfer basado en pila (CWE-121) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
Desbordamiento de búfer basado en montón (CWE-122) |
Ejecución de código arbitraria |
Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
Escritura fuera de los límites (CWE-787) |
Ejecución de código arbitraria |
Crítica |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
Validación incorrecta de la entrada (CWE-20) |
Ejecución de código arbitraria |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
Uso posterior a su liberación (CWE-416) |
Ejecución de código arbitrario |
Crítica |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
Escritura fuera de los límites (CWE-787) |
Ejecución de código arbitraria |
Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
Desbordamiento de búfer basado en pila (CWE-121) |
Ejecución de código arbitraria |
Crítica |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
Violación de los principios de diseño seguro (CWE-657) |
Ampliación de privilegios |
Importante | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
Violación de los principios de diseño seguro (CWE-657) |
Escalada de privilegios |
Importante |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
Lectura fuera de los límites (CWE-125) |
Pérdida de memoria |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
Lectura fuera de los límites (CWE-125) |
Pérdida de memoria |
Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- 0x1byte en colaboración con Trend Micro Zero Day Initiative - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
- Mat Powell con Trend Micro Zero Day Initiative - CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) - CVE-2023-21586
- Colaborador anónimo de Trend Micro Zero Day Initiative - CVE-2023-21609
- Vancir (vancir) - CVE-2023-21610
- Ashfaq Ansari y Krishnakant Patil - HackSys Inc, en colaboración con Trend Micro Zero Day Initiative- CVE-2023-21608
Revisiones:
7 de noviembre de 2022: reconocimiento revisado para CVE-2022-38437
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.