A modo de contextualizar la descripción de las vulnerabilidades abordadas, brindamos una breve descripción de los productos afectados:
- Adobe Bridge es una herramienta de gestión de archivos digitales que forma parte de Adobe Creative Suite.
- Adobe Photoshop es un editor de fotografías y gráficos multiplataforma.
- Adobe Prelude es un programa de gestión que permite almacenar varios tipos de videos en diferentes formatos y convertirlos en un formato predeterminado el cual puede ser utilizado por programas de terceros.
- Adobe Reader es un lector de archivos en formato PDF que forma parte de la familia de software Adobe Acrobat.
¿Qué pasó?
Adobe ha lanzado actualizaciones de seguridad, donde abordan un total de 13 vulnerabilidades de las cuales 12 han sido catalogadas como críticas y 1 de riesgo alto. Los productos afectados por estos fallos son:
- Adobe Bridge para Windows en versiones 10.0.3 y anteriores;
- Photoshop CC 2019 para Windows en versiones 20.0.9 y anteriores;
- Photoshop 2020 para Windows en versiones 21.2 y anteriores;
- Adobe Prelude para Windows en versiones 9.0 y anteriores;
- Adobe Reader para Android en versiones 20.0.1 y anteriores.
A continuación, se detallan brevemente las vulnerabilidades:
Vulnerabilidades críticas de Out-of-bounds read (Lectura fuera de los límites de memoria). La explotación exitosa de estos fallos podrían permitir a un atacante obtener acceso a información potencialmente confidencial de otras posiciones de memoria o ejecutar código.
El CVE-2020-9675, afecta a Adobe Bridge en versiones 10.0.3 y anteriores. Mientras que los CVE-2020-9683 y CVE-2020-9686, afectan a Photoshop CC 2019 en versiones 20.0.9 y anteriores; Photoshop 2020 en versiones 21.2 y anteriores. Por último los CVE-2020-9677 y CVE-2020-9679, afectan a Adobe Prelude en versiones 9.0 y anteriores.
Vulnerabilidades críticas de Out-of-bounds write (Escritura fuera de los límites de memoria). La explotación exitosa de estos fallos podrían permitir a un atacante ejecutar código en el sistema afectado.
Los CVE-2020-9674 y CVE-2020-9676, afectan a Adobe Bridge en versiones 10.0.3 y anteriores.
Mientras que los CVE-2020-9684, CVE-2020-9685 y CVE-2020-9687, afectan a Photoshop CC 2019 en versiones 20.0.9 y anteriores; Photoshop 2020 en versiones 21.2 y anteriores.
Los CVE-2020-9678 y CVE-2020-9680, afectan a Adobe Prelude en versiones 9.0 y anteriores.
Por último el CVE-2020-9663 de riesgo alto, trata de una vulnerabilidad de Directory Traversal, el cual afecta a Adobe Reader para dispositivos Android en versiones 20.0.1 y anteriores. La explotación exitosa de este fallo podría permitir a un atacante obtener información confidencial en el contexto del usuario.
Recomendaciones:
Actualizar los productos afectados a la última versión disponible, en este caso:
- Adobe Bridge versión 10.1.11;
- Adobe Prelude versión 9.0.1;
- Adobe Reader Mobile versión 20.3;
- Photoshop CC 2019 versión 20.0.10;
- Photoshop 2020 versión 21.2.1.
Referencias:
- https://helpx.adobe.com/security/products/bridge/apsb20-44.html
- https://helpx.adobe.com/security/products/photoshop/apsb20-45.html
- https://helpx.adobe.com/security/products/prelude/apsb20-46.html
- https://helpx.adobe.com/security/products/reader-mobile/apsb20-50.html
- https://www.zdnet.com/article/adobe-issues-emergency-fixes-for-vulnerabilities-in-photoshop-prelude/