Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader

Fecha de publicación: 6 de abril de 2017

Última actualización: 11 de mayo de 2017

Identificador de vulnerabilidad: APSB17-11

Prioridad: 2

Números CVE: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Plataforma: Windows y Macintosh

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y Macintosh. Estas actualizaciones solucionan vulnerabilidades importantes que podrían permitir que un intruso se hiciera con el control del sistema afectado.

Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC Continua 15.023.20070 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC Continua 15.023.20070 y versiones anteriores
Windows y Macintosh
       
Acrobat DC Clásica 15.006.30280 y versiones anteriores
Windows y Macintosh
Acrobat Reader DC Clásica 15.006.30280 y versiones anteriores
Windows y Macintosh
       
Acrobat XI Escritorio 11.0.19 y versiones anteriores Windows y Macintosh
Reader XI Escritorio 11.0.19 y versiones anteriores Windows y Macintosh

Para obtener más información sobre Acrobat DC, visita la página de preguntas frecuentes sobre Acrobat DC.

Para obtener más información sobre Acrobat Reader DC, visita la página de preguntas frecuentes sobre Acrobat Reader DC.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación
para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizan automáticamente cuando se detectan actualizaciones
    sin que ser requiera la intervención de los usuarios.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instala las actualizaciones según tu sistema preferido, como AIP-GPO, bootstrapper y SCUP/SCCM
    en Windows o Apple Remote Desktop y SSH en Macintosh.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continua 2017.009.20044
Windows y Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continua 2017.009.20044
Windows y Macintosh 2 Centro de descargas
           
Acrobat DC Clásica 2015.006.30306
Windows y Macintosh
2 Windows
Macintosh
Acrobat Reader DC Clásica 2015.006.30306 
Windows y Macintosh 2 Windows
Macintosh
           
Acrobat XI Escritorio 11.0.20 Windows y Macintosh 2 Windows
Macintosh
Reader XI Escritorio 11.0.20 Windows y Macintosh 2 Windows
Macintosh

Detalles sobre la vulnerabilidad

  • Estas actualizaciones solucionan vulnerabilidades de uso después de su liberación que podrían provocar la ejecución de código (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Estas actualizaciones solucionan vulnerabilidades de desbordamiento de búfer basado en pilas que podrían provocar la ejecución de código
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar la ejecución de código
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Estas actualizaciones solucionan vulnerabilidades de desbordamiento de enteros que podrían provocar la ejecución de código (CVE-
    2017-3011, CVE-2017-3034).
  • Estas actualizaciones solucionan vulnerabilidades de daños de memoria que podrían provocar una filtración de dirección de memoria
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Estas actualizaciones solucionan vulnerabilidades en la ruta de búsqueda del directorio que se utiliza para buscar recursos
    que podrían provocar la ejecución de código (CVE-2017-3012, CVE-2017-3013).

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de
problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Nicolas Gregoire de Agarri, en colaboración con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li y Huinian Yang de Neklab de ART&UESTC (CVE-2017-3037)
  • Informe anónimo a través del programa de contribución de vulnerabilidades de iDefense (VCP) (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk, que trabaja con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3040)
  • LiuBenjin del equipo Qihoo360 CodeSafe Team, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri de la iniciativa Zero Day Initiative de Trend Micro y Steven Seeley (mr_me) de Offensive
    Security, que colabora la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3042)
  • AbdulAziz Hariri de la iniciativa Zero Day Initiative de Trend Micro (-2017-, CVE-3043)
  • Ashfaq Ansari de proyecto Srishti a través del programa de contribución de vulnerabilidades de iDefense, VCP (CVE-2017-
    3038)
  • Steven Seeley (mr_me) de Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • kimyok del departamento de plataformas de seguridad de Tencent (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) de Offensive Security, en colaboración con la iniciativa Zero Day Initiative Trend Micro
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) de Offensive Security, en colaboración con la iniciativa Zero Day Initiative de Trend Micro y Ke Liu de Tencent's Xuanwu LAB (CVE-2017-3050)
  • Ke Liu de Xuanwu LAB de Tencent (CVE-2017-3012, CVE-2017-3015)
  • soiax, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3022)
  • Sebastian Apelt (Siberas), que trabaja con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu de Xuanwu LAB de Tencent, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao de Tencent PC Manager a través de GeekPwn (CVE-2017-3011)
  • Giwan Go de STEALIEN, que colabora con la iniciativa Zero Day Initiative de Trend Micro (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Revisiones

27 de abril de 2017: se han actualizado los agradecimientos por CVE-2017-3050, que no se habían incluido en el boletín.

11 de mayo de 2017: se han actualizado los agradecimientos por CVE-2017-3040, que no se habían incluido en el boletín.