Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader | APSB19-49
ID del boletín Fecha de publicación Prioridad
APSB19-49 15 de octubre de 2019 2

Resumen

Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan vulnerabilidades críticas e  importantes.  Esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código en el contexto del usuario actual.    

Versiones afectadas

Producto Seguimiento Versiones afectadas Plataforma
Acrobat DC  Continuous 

2019.012.20040 y versiones anteriores  Windows y macOS
Acrobat Reader DC Continuous  2019.012.20040 y versiones anteriores  Windows y macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 y versiones anteriores   Windows y macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 y versiones anteriores Windows y macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 y versiones anteriores  Windows y macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 y versiones anteriores Windows y macOS

Solución

Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.    

Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:    

  • Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.     

  • Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.      

  • El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.     

Para los administradores de TI (entornos administrados):     

  • Descarga los asistentes de instalación en la página ftp://ftp.adobe.com/pub/adobe/ o consulta la versión específica de la nota de lanzamiento para acceder a los enlaces de los asistentes de instalación.     

  • Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.     

   

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:    

Producto Seguimiento Versiones actualizadas Plataforma Nivel de prioridad Disponibilidad
Acrobat DC Continuous 2019.021.20047 Windows y macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows y macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows y macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows y macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows y macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows y macOS 2

Windows

macOS

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Lectura fuera de límites   Divulgación de información   Importante   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Escritura fuera de límites  Ejecución arbitraria de código    Crítico

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Uso posterior a su liberación    Ejecución arbitraria de código      Crítico

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

Desbordamiento de pila  Ejecución arbitraria de código      Crítico

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Desbordamiento del búfer Ejecución arbitraria de código      Crítico CVE-2019-8166
Ataque de secuencias de comandos en sitios cruzados  Divulgación de información Importante    CVE-2019-8160
Condición de carrera Ejecución arbitraria de código   Crítico CVE-2019-8162
Implementación incompleta del mecanismo de seguridad Divulgación de información Importante  CVE-2019-8226
Confusión de tipo Ejecución arbitraria de código   Crítico

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Desreferencia de puntero que no es de confianza Ejecución arbitraria de código  Crítico

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:    

  • Anónimo en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie de Baidu Security Lab en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 de Viettel Cyber Security en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8172) 
  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202)
  • L4Nce en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8064) 
  • Mat Powell de Zero Day Initiative de Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk de Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) de Source Incite en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige de Knownsec 404 Security Team (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin y Lee JinYoung de Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 de SEFCOM Lab, Universidad Estatal de Arizona (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) de Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung de STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research, Flexera (CVE-2019-8222)
  • Aleksandar Nikolic de Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) de Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang y willJ from Chengdu Security Response Center de Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang (@dnpushme), Li Qi (@leeqwind) y Yang Jianxiong(@sinkland_) de Qihoo360 Core Security (@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung de Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu de Palo Alto Networks y Heige de Knownsec 404 Security Team (CVE-2019-8205)
  • Zhibin Zhang de Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) en colaboración con Zero Day Initiative de Trend Micro (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie de Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng de Qihoo 360 Core Security y Jiadong Lu de la Universidad de Tecnología del Sur de China (CVE-2019-8162)

Revisiones

11 de noviembre de 2019: Se añadió un reconocimiento por CVE-2019-8195 y CVE-2019-8196.