La versión de seguridad de Adobe de diciembre incluye soluciones para 17 vulnerabilidades críticas en el software que podrían explotarse para activar la ejecución de código arbitrario.
Como parte del programa de seguridad estándar del proveedor de software, se han parcheado vulnerabilidades en Photoshop, Reader, Brackets y ColdFusion.
En Adobe Photoshop CC, el popular software de edición de imágenes de la firma, Adobe resolvió CVE-2019-8253 y CVE-2019-8254, errores críticos de corrupción de memoria que podrían conducir a la ejecución de código arbitrario. Las versiones 20.0.7 y anteriores y 21.0.1 y anteriores en máquinas Windows y macOS se ven afectadas.
El mayor lote de actualizaciones de seguridad gira en torno a Adobe Acrobat y Reader, versiones 2015, 2017 y DC.
En total, 14 vulnerabilidades que afectan al software se consideran problemas críticos. CVE-2019-16450 y CVE-2019-16454 son defectos de escritura fuera de los límites; CVE-2019-16445, CVE-2019-16448, CVE-2019-16452, CVE-2019-16459 y CVE-2019-16464 son errores sin uso; mientras que CVE-2019-16446, CVE-2019-16455, CVE-2019-16460 y CVE-2019-16463 son problemas de desreferencia de puntero no confiables.
Además, se ha resuelto un problema de desbordamiento de pila, CVE-2019-16451, un error de búfer, CVE-2019-16462 y un bypass de seguridad (CVE-2019-16453) que afecta el software.
Ver también: Adobe elimina vulnerabilidades críticas en Illustrator CC, Media Encoder
En caso de que los atacantes exploten cualquiera de estas vulnerabilidades, pueden desencadenar la ejecución de código arbitrario.
Además, Adobe eliminó seis problemas de lectura fuera de los límites que conducen a fugas de datos, considerados importantes (CVE-2019-16449, CVE-2019-16456, CVE-2019-16457, CVE-2019-16458, CVE-2019-16461 , CVE-2019-16465) y otro error de la misma gravedad, CVE-2019-16444, descrito como un problema predeterminado de escalado de privilegios de carpeta.
Adobe Brackets, software de edición de código fuente para diseño y desarrollo web, también ha recibido una solución para una vulnerabilidad crítica. Impactando los sistemas Windows, Linux y macOS, las versiones de Brackets 1.14 y anteriores son susceptibles a CVE-2019-8255, una falla de inyección de comandos que podría explotarse para la ejecución de código arbitrario.
El vendedor de software también lanzó una actualización para ColdFusion de 2018, resolviendo un error inseguro de permisos heredados que conduce a la escalada de privilegios. Rastreado como CVE-2019-8256, esta falla de seguridad se considera importante.
CNET: Google Chrome ahora puede advertirte en tiempo real si te están phishing
Adobe agradeció a los investigadores de Google Project Zero, el equipo de investigación de Secure D Center, FortiGuard Labs, Palo Alto Networks, Baidu Security Lab y Cisco Talos por informar las vulnerabilidades, entre otros.
El martes de parches, Microsoft lanzó correcciones de seguridad que resuelven 36 vulnerabilidades, incluido un error de día cero que se explota activamente en la naturaleza. La falla de escalada de privilegios de día cero, descubierta por Kaspersky, ocurre debido a la falla del componente Win32k de manejar adecuadamente los objetos de memoria.
Kaspersky dice el error se ha utilizado en los ataques de "Operation WizardOpium", aunque no se han relacionado actores de amenazas específicos con los hallazgos.
TechRepublic: Cómo usar el administrador de contraseñas de Firefox Lockwise
En noviembre, Adobe parcheó vulnerabilidades en cuatro productos: Adobe Media Encoder, Illustrator CC, Adobe Bridge CC y Adobe Animate CC, y aunque la actualización de seguridad fue relativamente pequeña, la peor de las fallas de seguridad podría haber resultado en ataques de ejecución de código .
Adobe también advirtió a los clientes en el mismo mes que el soporte para Adobe Acrobat y Reader 2015 finalizará el 7 de abril de 2020. El gigante del software a menudo termina el soporte después de cinco años de disponibilidad general.
Cobertura previa y relacionada
¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
