Adobe ha lanzado actualizaciones de seguridad con soluciones a múltiples vulnerabilidades en varios productos de softwares destacados y advirtió que los actores malintencionados podrían explotar estos errores para ejecución remota de código (RCE).
El producto Adobe Acrobat Reader se destaca entre los más afectados y puede ser considerado como el más crítico debido a que es uno de los visualizadores de archivos PDF más utilizados a nivel global. Podría verse expuesto a ataques como ejecución remota de código (RCE). Las vulnerabilidades más importantes que lo afectan (CVE-2021-44701, CVE-2021-44707 y CVE-2021-45067) aún no cuentan con una calificación oficial. A continuación, se detallan las vulnerabilidades:
- CVE-2021-44701 de severidad alta, con una puntuación temporal de 7.8. Esta vulnerabilidad se debe al incorrecto uso de los punteros (null pointer) en los bloques de memoria dinámicos en una función desconocida. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2021-44707 de severidad alta, con una puntuación temporal de 7.8. Esta vulnerabilidad se debe a una falla de programación en la escritura del búfer de memoria. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2021-45067 de severidad media, con una puntuación temporal de 5.5. Esta vulnerabilidad se debe a un error del búfer de la memoria, cuando el software lee o escribe en el búfer de memoria usando un índice o puntero que apunta a una dirección de memoria que se encuentra después del final del búfer. Un atacante podría ocasionar un ataque de denegación de servicio (DoS) en el sistema afectado.
Adobe adicionalmente publicó correcciones de seguridad para sus productos Adobe Illustrator, Adobe Bridge, Adobe InCopy y Adobe InDesign. Es posible acceder al listado completo de las vulnerabilidades resueltas por Adobe a través de los enlaces proveídos a continuación:
Recomendamos instalar las actualizaciones correspondientes provistas por Adobe, siguiendo los pasos descritos en la siguiente guía:
Referencias:
- https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/adobe-releases-security-updates-multiple-products
- https://helpx.adobe.com/security/products/acrobat/apsb22-01.html
- https://helpx.adobe.com/security/products/illustrator/apsb22-02.html
- https://helpx.adobe.com/security/products/bridge/apsb22-03.html
- https://helpx.adobe.com/security/products/incopy/apsb22-04.html
- https://helpx.adobe.com/security/products/indesign/apsb22-05.html