El pasado 20 de
febrero de 2019 Adobe publicó actualizaciones de urgencia que no estaban
programadas para sus productos After Effects y Media Encoder con el objetivo de
solventar un total de dos vulnerabilidades críticas no conocidas hasta el
momento.
Ambas
vulnerabilidades están relacionadas con problemas de corrupción de memoria. Con
su explotación, el atacante podría ejecutar código arbitrario en los
dispositivos afectados tan solo con que la víctima abra con el software
afectado de Adobe un archivo especialmente creado para explotar la
vulnerabilidad.
En el caso de Adobe
After Effects (una aplicación para la creación de imágenes en movimiento y efectos
especiales usados en vídeo), a la vulnerabilidad se le ha dado el identificador
CVE-2020-3765 y fue descubierta por el investigador de seguridad Matt Powell.
La vulnerabilidad fue reportada a Adobe a través del proyecto «Zero Day
Initiative» de Trend Micro. Este fallo se encontraba en las versiones del
software 16.1.2 y anteriores para Windows y macOS.
Por otro lado, a la
vulnerabilidad en Media Encoder (software para codificar y comprimir archivos
de audio o vídeo) se le ha dado el identificador CVE-2020-3764. Fue descubierta
por el investigador de seguridad canadiense Francis Provencher. Esta segunda
vulnerabilidad afectaba a la versión 14.02 del software para equipos Windows y macOS.
Ninguna de estas
vulnerabilidades, ya corregidas, fueron hechas públicas ni han sido
aparentemente explotadas por ningún atacante, según Adobe, quien explica que no
se han encontrado evidencias de que lo anterior haya ocurrido.
La actualización
La manera de
solucionar estos problemas ha sido, en el caso de After Effects, actualizar a
la versión 17.0.2.; en el caso de Media Encoder, actualizar a la versión
14.0.2.
Cabe mencionar que la
urgente solución de estas vulnerabilidades viene dada después de que el pasado
martes, en el habitual «Patch Tuesday» de Adobe, se parchearan 42 nuevas
vulnerabilidades, 35 de las cuales eran críticas en cuanto a severidad y
afectaban a Adobe Framemaker, Acrobat y Reader, Flash Player, Digital Edition y
Adobe Experience Manager.
Para evitar que este
tipo de fallos sean explotados por usuarios malintencionados con sus
correspondientes consecuencias, se recomienda a quienes poseen cualquier
dispositivo electrónico sujeto a actualizaciones que tengan siempre el software
en su última versión. Aunque esto no nos garantice que no vayamos a tener
ningún problema, sí da mayor seguridad a nuestros equipos al contar con las
últimas actualizaciones de seguridad implementadas en las aplicaciones.
Más información
·
Adobe
Patches Critical Bugs Affecting Media Encoder and After Effects https://thehackernews.com/2020/02/adobe-software-updates.html
·
Adobe
fixes critical flaws in Media Encoder and After Effects https://nakedsecurity.sophos.com/2020/02/21/adobe-fixes-critical-flaws-in-media-encoder-and-after-effects/
Fuente: Hispasec