ID del boletín
Última actualización el
26 ene 2022
Actualización de seguridad disponible para Adobe Acrobat y Reader | APSB22-01
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB22-01 |
11 de enero de 2022 |
2 |
Resumen
Adobe ha publicado actualizaciones de seguridad de Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones solucionan varias vulnerabilidades críticas, importantes y moderadas. El aprovechamiento de esta vulnerabilidad podría dar lugar a la ejecución arbitraria de código, la pérdida de memoria, la denegación del servicio de aplicaciones, la omisión de la función de seguridad y la ampliación de privilegios.
Versiones afectadas
|
Seguimiento |
Versiones afectadas |
Plataforma |
|
|
Acrobat DC |
Continuous |
21.007.20099 y versiones anteriores |
Windows |
|
Acrobat Reader DC |
Continuous |
|
Windows |
|
Acrobat DC |
Continuous |
21.007.20099 y versiones anteriores |
macOS |
|
Acrobat Reader DC |
Continuous |
21.007.20099 y versiones anteriores |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30017 y versiones anteriores |
Windows y macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30017 y versiones anteriores |
Windows y macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30204 y versiones anteriores |
Windows y macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30204 y versiones anteriores |
Windows y macOS |
Si tiene alguna duda sobre Acrobat DC, acceda a la página de preguntas frecuentes de Acrobat DC.
Si tiene alguna duda sobre Acrobat Reader DC, acceda a la página de preguntas frecuentes Acrobat Reader de DC.
Solución
Adobe recomienda que los usuarios sigan las instrucciones que se indican a continuación para actualizar sus instalaciones de software a la última versión.
Las últimas versiones de productos están disponibles para los usuarios finales mediante uno de los métodos siguientes:
Los usuarios pueden actualizar manualmente la instalación de sus productos seleccionando Ayuda > Buscar actualizaciones.
Los productos se actualizarán automáticamente cuando se detecten actualizaciones, sin que la intervención del usuario sea necesaria.
El asistente de instalación completo de Acrobat Reader se puede descargar en el Centro de descargas de Acrobat Reader.
Para los administradores de TI (entornos administrados):
Consulte los vínculos a los instaladores en las notas de la versión específica.
Instale las actualizaciones a través del método que prefiera, por ejemplo, AIP-GPO, sistema de bootstrapping, SCUP/SCCM en Windows, o en macOS, Apple Remote Desktop y SSH.
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Seguimiento |
Versiones actualizadas |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|
|
Acrobat DC |
Continuous |
21.011.20039 |
Windows y macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
21.011.20039 |
Windows y macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.004.30020 |
Windows y macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.004.30020 |
Windows y macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.011.30207 |
Windows y macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.011.30207 |
Windows y macOS |
2 |
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | Puntuación base CVSS | Vector CVSS | Número CVE |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44701 |
| Exposición de información (CWE-200) |
Ampliación de privilegios | Moderada | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44702 |
| Desbordamiento de búfer basado en pila (CWE-121) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44703 |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44704 |
| Acceso a puntero no inicializado (CWE-824) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44705 |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44706 |
| Escritura fuera de los límites (CWE-787) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44707 |
| Desbordamiento de búfer basado en montón (CWE-122) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44708 |
| Desbordamiento de búfer basado en montón (CWE-122) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44709 |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44710 |
| Desbordamiento de enteros o wraparound (CWE-190) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-44711 |
| Validación incorrecta de la entrada (CWE-20) | Denegación de servicio de la aplicación | Importante | 4.4 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L | CVE-2021-44712 |
| Uso posterior a su liberación (CWE-416) | Denegación de servicio de la aplicación | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | CVE-2021-44713 |
| Violación de los principios de diseño seguro (CWE-657) | Omisión de la función de seguridad | Moderado | 2.5 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44714 |
| Lectura fuera de los límites (CWE-125) | Pérdida de memoria | Moderado | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44715 |
| Exposición de información (CWE-200) |
Ampliación de privilegios |
Moderada | 3.1 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-44739 |
| Desreferencia de puntero NULO (CWE-476) | Denegación de servicio de la aplicación | Moderado | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44740 |
| Desreferencia de puntero NULO (CWE-476) | Denegación de servicio de la aplicación | Moderado | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L | CVE-2021-44741 |
| Lectura fuera de los límites (CWE-125) | Pérdida de memoria | Moderado | 3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-44742 |
| Lectura fuera de los límites (CWE-125) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45060 |
| Escritura fuera de los límites (CWE-787) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45061 |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45062 |
| Uso posterior a su liberación (CWE-416) | Ampliación de privilegios | Moderado | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-45063 |
| Uso posterior a su liberación (CWE-416) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45064 |
| Acceso a la ubicación de memoria una vez finalizado el almacenamiento en búfer (CWE-788) | Pérdida de memoria | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CVE-2021-45067 |
| Escritura fuera de los límites (CWE-787) | Ejecución de código arbitraria | Crítica | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-45068 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Ashfaq Ansari y Krishnakant Patil - HackSys Inc, en colaboración con Trend Micro Zero Day Initiative (CVE-2021-44701)
- j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
- Kai Lu de Zscaler's ThreatLabz (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
- PangU mediante TianfuCup (CVE-2021-44704)
- StakLeader mediante TianfuCup (CVE-2021-44705)
- bee13oy de Kunlun Lab mediante TianfuCup (CVE-2021-44706)
- Vulnerability Research Institute Juvenile mediante TianfuCup (CVE-2021-44707)
- Jaewon Min y Aleksandar Nikolic de Cisco Talos (CVE-2021-44710, CVE-2021-44711)
- Sanjeev Das (sd001) (CVE-2021-44712)
- Rocco Calvi (TecR0c) y Steven Seeley de Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
- chamal (chamal) (CVE-2021-44714)
- fr0zenrain de Baidu Security (fr0zenrain) (CVE-2021-44742)
- Anónimo en colaboración con Trend Micro Zero Day Initiative (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063; CVE-2021-45068, CVE-2021-45064)
- Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)
Revisiones:
12 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-44706
13 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-45064. Se han añadido detalles de CVE para CVE-2021-44702 y CVE-2021-44739
17 de enero de 2022: Se ha añadido un reconocimiento para CVE-2021-44706
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
