El pasado 14 de enero Adobe publicó
actualizaciones de software para corregir un total de 9 vulnerabilidades en dos
de sus aplicaciones más usadas: Adobe Experience Manager y Adobe Illustrator.
Cinco vulnerabilidades críticas
Cinco de las nueve vulnerabilidades
dadas a conocer son críticas (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712,
CVE-2020-3713, CVE-2020-3714), y todas ellas afectan a las versiones 24.0 y
anteriores de Adobe Illustrator CC. Dichas fallos de seguridad fueron
reportados a la compañía por el investigador Honggang Ren, de Laboratorios
FortiGuard de Fortinet.
Según Adobe, los cinco fallos críticos
en Adobe Illustrator se basan en bugs de corrupción de memoria que podrían
permitir a un atacante ejecutar código remoto en los sistemas afectados en el
contexto del usuario con el que se haya iniciado sesión. Este tipo de fallos
tienen lugar cuando el contenido de la memoria se modifica debido a errores en
programación, permitiendo la ejecución de código remoto.
Vulnerabilidades en Adobe Experience
Manager
Las otras cuatro vulnerabilidades
afectan a Adobe Experience Manager -una aplicación para marketing online y
análisis web-, ninguna de las cuales son críticas pero deberían ser parcheadas
lo antes posible.
Adobe ha marcado las actualizaciones
de seguridad para Adobe Experience Manager con una prioridad de nivel 2, lo que
quiere decir que se han visto fallos similares siendo explotados en el pasado,
pero hasta el momento, la compañía no ha encontrado evidencia alguna de que las
vulnerabilidades aquí reportadas hayan sido explotadas «in the wild».
Algunos de los vectores de ataque
mediante los cuales explotar estas vulnerabilidades son:
- Cross-site scripting reflejado (CVE-2019-16466 y
CVE-2019-16467). Afecta a las versiones 6.3, 6.4 y 6.5. Este tipo de
fallos permite al atacante usar una aplicación web para enviar código
malicioso al usuario víctima.
- Inyección en la interfaz del
usuario
(CVE-2019-16468). Afecta a las versiones 6.3, 6.4 y 6.5.
- Inyección de expresión de
lenguaje
(CVE-2019-16469). Afecta a la versión 6.5. Este fallo ocurre cuando los
datos controlados por el atacante se introducen en un intérprete de
expresiones de lenguaje.
Numerosas versiones de Adobe
Experience Manager se ven afectadas por estos fallos, y todos ellos dan lugar a
la filtración de información sensible, siendo tres de las cuatro
vulnerabilidades importantes en cuanto a su severidad y, la restante, moderada.
El mismo 14 de enero Adobe lanzó la
versión 24.0.2 de Illustrator CC 2019 para Windows, así como parches para las
versiones 6.3, 6.4 y 6.5 de Adobe Experience Manager.
Cabe señalar que el pasado mes de
diciembre Adobe corrigió 25 CVEs que afectaban a múltiples productos de la
compañía, entre las cuales se encontraban 17 vulnerabilidades críticas en
Acrobat Reader, Phososhop y Brackets, las cuales también podían dar lugar a la
ejecución de código remoto.
Desde Adobe se recomienda a los
usuarios finales y administradores que instalen las actualizaciones más
recientes de seguridad tan pronto como sea posible para proteger sus sistemas
de potenciales ciberataques.
Más información
Fuente: Hispasec