Boletín de seguridad de Adobe Acrobat y Reader | APSB18-21
ID del boletín Fecha de publicación Prioridad
APSB18-21 10 de julio de 2018 2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan las vulnerabilidades críticas e importantes.Estas vulnerabilidades podrían dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.

Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma Nivel de prioridad
Acrobat DC  Continua
2018.011.20040 y versiones anteriores 
Windows y macOS 2
Acrobat Reader DC Continua
2018.011.20040 y versiones anteriores 
Windows y macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 y versiones anteriores Windows y macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 y versiones anteriores Windows y macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 y versiones anteriores
Windows y macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 y versiones anteriores
Windows y macOS 2

Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.

Si tiene alguna duda sobre Acrobat Reader DC, acceda a la página de preguntas frecuentes de Acrobat Reader DC
.

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
  • Los productos se actualizan automáticamente cuando se detectan actualizaciones
    sin que ser requiera la intervención de los usuarios.
  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.

Para los administradores de TI (entornos administrados):

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación. 
  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continua 2018.011.20055
Windows y macOS 2
Windows
macOS
Acrobat Reader DC Continua 2018.011.20055
Windows y macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows y macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows y macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows y macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows y macOS 2
Windows
macOS

Nota:

Tal y como se indica en el anuncio anterior, la asistencia para Adobe Acrobat 11.x y Adobe Reader 11.x finaliza el 15 de octubre de 2017.La versión 11.0.23 es la versión final de Adobe Acrobat 11.x y Adobe Reader 11.x. Adobe recomienda encarecidamente actualizar a las versiones más recientes de Adobe Acrobat DC y Adobe Acrobat Reader DC. La actualización a las versiones más recientes ofrece las últimas mejoras funcionales, así como medidas de seguridad mejoradas.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Doble liberación
Ejecución de código arbitraria Crítico CVE-2018-12782
Desbordamiento de pila
Ejecución de código arbitraria
Crítico CVE-2018-5015, CVE-2018-5028,   CVE-2018-5032, CVE-2018-5036,   CVE-2018-5038, CVE-2018-5040,   CVE-2018-5041, CVE-2018-5045,   CVE-2018-5052, CVE-2018-5058,   CVE-2018-5067, CVE-2018-12785, CVE-2018-12788 y CVE-2018-12798
Uso posterior a su liberación 
Ejecución de código arbitraria
Crítico CVE-2018-5009, CVE-2018-5011,   CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796 y CVE-2018-12797  
Escritura fuera de límites 
Ejecución de código arbitraria
Crítico CVE-2018-5020, CVE-2018-5021,   CVE-2018-5042, CVE-2018-5059,   CVE-2018-5064, CVE-2018-5069,   CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771 y CVE-2018-12787
Evasión de seguridad Escalación de privilegios
Crítico
CVE-2018-12802
Lectura fuera de límites Divulgación de información Importante CVE-2018-5010, CVE-2018-12803,  CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790 y CVE-2018-12795
Confusión de tipo Ejecución de código arbitraria Crítico CVE-2018-5057, CVE-2018-12793 y CVE-2018-12794
Desreferencia de puntero que no es de confianza  Ejecución de código arbitraria Crítico CVE-2018-5012 y CVE-2018-5030
Errores de búfer
Ejecución de código arbitraria Crítico CVE-2018-5034, CVE-2018-5037, CVE-2018-5043 y CVE-2018-12784

Agradecimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Gal De Leon de Palo Alto Networks (CVE-2018-5009, CVE-2018-5066)

  • Zero Day Initiative de Trend Micro ha informado de estas vulnerabilidades de forma anónima (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783,CVE-2018-12795 y CVE-2018-12797)

  • WillJ de Tencent PC Manager a través de Zero Day Initiative de Trend Micro (CVE-2018-5058, CVE-2018-5063 y CVE-2018-5065)

  • Steven Seeley a través de Zero Day Initiative de Trend Micro (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793 y CVE-2018-12796)

  • Ke Liu de Xuanwu LAB de Tencent en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056 y CVE-2018-5057)

  • Sebastian Apelt de siberas a través de Zero Day Initiative de Trend Micro (CVE-2018-12794)

  • Zhiyuan Wang de Chengdu Qihoo360 Tech Co. Ltd. (CVE-2018-12758)

  • Lin Wang de la Universidad de Beihang (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787 y CVE-2018-5067)

  • Zhenjie Jia del equipo Qihoo 360 Vulcan (CVE-2018-12757)

  • Netanel Ben Simon y Yoav Alon de Check Point Software Technologies (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766 y CVE-2018-12767 y CVE-2018-12768)

  • Aleksandar Nikolic de Cisco Talos (CVE-2018-12756)

  • Vladislav Stolyarov de Kaspersky Lab (CVE-2018-5011)

  • Ke Liu de Xuanwu Lab de Tencent (CVE-2018-12785 y CVE-2018-12786)

  • Kdot a través de Zero Day Initiative de Trend Micro (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054 y CVE-2018-5020)

  • Pengsu Cheng de Trend Micro en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790 y CVE-2018-5056)

  • Ron Waisberg en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-5062, CVE-2018-12788 y CVE-2018-12789)

  • Steven Seeley (mr_me) de Source Incite en colaboración con iDefense Labs (CVE-2018-12791, CVE-2018-12792 y CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • XuPeng de TCA/SKLCS Institute of Software Chinese Academy of Sciences y HuangZheng de Baidu Security Lab (CVE-2018-12782)

  • Se ha informado de forma anónima (CVE-2018-12784 y CVE-2018-5009)

  • mr_me de Source Incite en colaboración con Zero Day Initiative de Trend Micro (CVE-2018-12761)

  • Zhanglin He y Bo Qu de Palo Alto Networks (CVE-2018-5023 y CVE-2018-5024)

  • Bo Qu de Palo Alto Networks y Heige del equipo de seguridad de Knownsec 404 (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025 y CVE-2018-5026)