Parches de seguridad de Adobe corrigen 47 vulnerabilidades en Adobe Reader y Acrobat DC

El pasado Lunes 15 de Mayo Adobe lanzó parches de seguridad para corregir hasta 47 vulnerabilidades en varias de las versiones más populares de su software. Es momento de actualizar o deshabilitar aquello que no necesites.

Parches de seguridad de Adobe corrigen 47 vulnerabilidades en Adobe Reader y Acrobat DC

De entre las casi 50 vulnerabilidades que han sido corregidas existe un gran número de fallos de seguridad críticos. Muchas de estas vulnerabilidades han sido reportadas por la Zero Day Initiative de Trend micro (ZDI).

47 vulnerabilidades corregidas en productos de Adobe

Las versiones afectadas comprenden Adobe Acrobat DC, Acrobat Reader DC, Acrobat 2017 y Acrobat Reader 2017. Los fallos de seguridad afectan tanto a versiones Windows y Mac OS como a versiones de consumo y Classic. Se han publicado las versiones 2018.011.20040, 2017.011.30080 y 2015.006.30418. Según se cita en su informe:

Adobe ha lanzado actualizaciones de seguridad para Adobe Acrobat  y Reader para Windows y MacOS. Estas actualizaciones solventan problemas críticos de seguridad que permitirían la ejecución arbitraria de código remoto en el contexto de un usuario.

Respecto de las vulnerabilidades, 24 de las 47 encontradas incluyen corrupciones de memoria catalogadas como críticas. También se habla de otras “Importantes” como Bypass de seguridad o robo de hashes empleados para autenticar SSO con NTLM.

Muchos equipos de investigación de laboratorios de seguridad como CheckPoint, Cisco Talos, Kaspersky o Palo Alto han colaborado con Adobe para identificar estos riesgos y recomendar medidas de seguridad acordes.

Las versiones de Windows y MacOS están afectadas de igual forma, tanto en Acrobat / Reader como en Photoshop CC. Además, las versiones 11.x de Acrobat y Reader ya no contarán consoporte.

Adobe ha lanzado actualizaciones para Photoshop CC en Windows y MacOS. Resuelven una vulnerabilidad crítica en Photoshop CC 19.1.3 y anteriores versiones, además de afectar a 18.1.3 y anteriores. La explotación de estos problemas de seguridad provocaría posibles ataques RCE (ejecución remota de código) en el contexto del usuario en uso.

Actualizaciones recientes sobre productos de Adobe

Estos parches se unen a otros recientemente anunciados por la marca para corregir diferentes vulnerabilidades en sus productos, por ejemplo Adobe Flash Player, Creative Cloud o Connect.

Uno de estos fallos de seguridad (CVE-2018-4944) también soluciona una vulnerabilidad de ejecución remota de código en Flash Player. Este fallo crítico habría sido catalogado con gravedad “2” en lugar de la máxima (1) dado que la firma estima que aún no se ha desarrollado ningún exploit que lo aproveche.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.