Las actualizaciones de seguridad de Adobe para mayo de 2021 abordan al menos 43 CVE en Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat y Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium y Animate. Cinco de los defectos mencionados se notificaron a través del programa ZDI.
Uno de los problemas, rastreado como CVE-2021-28550, es un fallo de corrupción de memoria “use-after-free” que afecta a Adobe Reader para Windows y que ha sido explotado en la naturaleza en ataques limitados.
Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS. Estas actualizaciones abordan múltiples vulnerabilidades críticas e importantes. Una explotación exitosa podría llevar a la ejecución de código arbitrario en el contexto del usuario actual”, reza el aviso publicado por el gigante del software.
“Adobe ha recibido un informe de que CVE-2021-28550 ha sido explotado in the wild en ataques limitados dirigidos a usuarios de Adobe Reader en Windows”.
Adobe no proporcionó detalles técnicos sobre los ataques, de todos modos este problema podría ser explotado por un atacante engañando a las víctimas para que abran un PDF especialmente diseñado.
El gigante del software también abordó 11 vulnerabilidades de seguridad en Adobe Acrobat y Reader para las plataformas Windows y MacOS.
A continuación la lista de vulnerabilidades en Acrobat y Reader:
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | CVE Number |
| Desbordamiento del búfer | Ejecución de código arbitrario | Importante | CVE-2021-28561 |
| Desbordamiento del búfer basado en la pila | Ejecución de código arbitrario | Crítica | CVE-2021-28560 |
| Desbordamiento del búfer basado en la pila | Ejecución de código arbitrario | Importante | CVE-2021-28558 |
| Lectura fuera de límites | Fuga de memoria | Crítica | CVE-2021-28557 |
| Lectura fuera de límites | Lectura arbitraria del sistema de archivos | Importante | CVE-2021-28555 |
| Lectura fuera de límites | Lectura arbitraria del sistema de archivos | Crítica | CVE-2021-28565 |
| Escritura fuera de los límites | Lectura arbitraria del sistema de archivos | Crítica | CVE-2021-28564 |
| Escritura fuera de los límites | Lectura arbitraria del sistema de archivos | Crítica | CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
| Exposición de información privada | Escalada de privilegios | Importante | CVE-2021-28559 |
| Uso después de la gratuidad | Lectura arbitraria del sistema de archivos | Crítica | CVE-2021-28562 CVE-2021-28550 CVE-2021-28553 |
La empresa también ha solucionado tres problemas críticos de escritura fuera de los límites en InDesign (CVE-2021-21098, CVE-2021-21099, CVE-2021-21043) que podían conducir a la ejecución de código arbitrario.
“También destaca la actualización para InDesign. Estos fallos son el resultado de la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una escritura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual”, informó ZDI. “Más allá del fallo de Reader, ninguna de las otras vulnerabilidades parcheadas por Adobe este mes figura como públicamente conocida o bajo ataque activo en el momento de su publicación”.
La empresa también ha publicado actualizaciones para corregir vulnerabilidades en los productos InCopy y Genuine Service.
Fuente: securityaffairs.co