Adobe confirmó que una vulnerabilidad de día cero que afecta a Adobe Reader para Windows ha sido explotada en la naturaleza en ataques limitados.

Las actualizaciones de seguridad de Adobe para mayo de 2021 abordan al menos 43 CVE en Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat y Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium y Animate. Cinco de los defectos mencionados se notificaron a través del programa ZDI.

Uno de los problemas, rastreado como CVE-2021-28550, es un fallo de corrupción de memoria «use-after-free» que afecta a Adobe Reader para Windows y que ha sido explotado en la naturaleza en ataques limitados.

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones abordan múltiples vulnerabilidades críticas e importantes. Una explotación exitosa podría llevar a la ejecución de código arbitrario en el contexto del usuario actual», reza el aviso publicado por el gigante del software.

«Adobe ha recibido un informe de que CVE-2021-28550 ha sido explotado in the wild en ataques limitados dirigidos a usuarios de Adobe Reader en Windows».

Adobe no proporcionó detalles técnicos sobre los ataques, de todos modos este problema podría ser explotado por un atacante engañando a las víctimas para que abran un PDF especialmente diseñado.

El gigante del software también abordó 11 vulnerabilidades de seguridad en Adobe Acrobat y Reader para las plataformas Windows y MacOS.

A continuación la lista de vulnerabilidades en Acrobat y Reader:

Categoría de vulnerabilidadImpacto de la vulnerabilidadGravedadCVE Number
Desbordamiento del búferEjecución de código arbitrarioImportanteCVE-2021-28561
Desbordamiento del búfer basado en la pilaEjecución de código arbitrarioCríticaCVE-2021-28560
Desbordamiento del búfer basado en la pilaEjecución de código arbitrarioImportanteCVE-2021-28558
Lectura fuera de límitesFuga de memoriaCríticaCVE-2021-28557
Lectura fuera de límitesLectura arbitraria del sistema de archivosImportanteCVE-2021-28555
Lectura fuera de límitesLectura arbitraria del sistema de archivosCríticaCVE-2021-28565
Escritura fuera de los límitesLectura arbitraria del sistema de archivosCríticaCVE-2021-28564
Escritura fuera de los límitesLectura arbitraria del sistema de archivosCríticaCVE-2021-21044
CVE-2021-21038
CVE-2021-21086
Exposición de información privadaEscalada de privilegiosImportanteCVE-2021-28559
Uso después de la gratuidadLectura arbitraria del sistema de archivosCríticaCVE-2021-28562
CVE-2021-28550
CVE-2021-28553

La empresa también ha solucionado tres problemas críticos de escritura fuera de los límites en InDesign (CVE-2021-21098, CVE-2021-21099, CVE-2021-21043) que podían conducir a la ejecución de código arbitrario.

«También destaca la actualización para InDesign. Estos fallos son el resultado de la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una escritura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual», informó ZDI. «Más allá del fallo de Reader, ninguna de las otras vulnerabilidades parcheadas por Adobe este mes figura como públicamente conocida o bajo ataque activo en el momento de su publicación».

La empresa también ha publicado actualizaciones para corregir vulnerabilidades en los productos InCopy y Genuine Service.

Fuente: securityaffairs.co

Comments are closed.