El pasado 14 de enero Adobe publicó actualizaciones de software para corregir un total de 9 vulnerabilidades en dos de sus aplicaciones más usadas: Adobe Experience Manager y Adobe Illustrator
Cinco vulnerabilidades críticas
Cinco de las nueve vulnerabilidades dadas a conocer son críticas (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714), y todas ellas afectan a las versiones 24.0 y anteriores de Adobe Illustrator CC. Dichas fallos de seguridad fueron reportados a la compañía por el investigador Honggang Ren, de Laboratorios FortiGuard de Fortinet.
Según Adobe, los cinco fallos críticos en Adobe Illustrator se basan en bugs de corrupción de memoria que podrían permitir a un atacante ejecutar código remoto en los sistemas afectados en el contexto del usuario con el que se haya iniciado sesión. Este tipo de fallos tienen lugar cuando el contenido de la memoria se modifica debido a errores en programación, permitiendo la ejecución de código remoto.
Vulnerabilidades en Adobe Experience Manager
Las otras cuatro vulnerabilidades afectan a Adobe Experience Manager -una aplicación para marketing online y análisis web-, ninguna de las cuales son críticas pero deberían ser parcheadas lo antes posible.
Adobe ha marcado las actualizaciones de seguridad para Adobe Experience Manager con una prioridad de nivel 2, lo que quiere decir que se han visto fallos similares siendo explotados en el pasado, pero hasta el momento, la compañía no ha encontrado evidencia alguna de que las vulnerabilidades aquí reportadas hayan sido explotadas «in the wild».
Algunos de los vectores de ataque mediante los cuales explotar estas vulnerabilidades son:
- Cross-site scripting reflejado (CVE-2019-16466 y CVE-2019-16467). Afecta a las versiones 6.3, 6.4 y 6.5. Este tipo de fallos permite al atacante usar una aplicación web para enviar código malicioso al usuario víctima.
- Inyección en la interfaz del usuario (CVE-2019-16468). Afecta a las versiones 6.3, 6.4 y 6.5.
- Inyección de expresión de lenguaje (CVE-2019-16469). Afecta a la versión 6.5. Este fallo ocurre cuando los datos controlados por el atacante se introducen en un intérprete de expresiones de lenguaje.
Numerosas versiones de Adobe Experience Manager se ven afectadas por estos fallos, y todos ellos dan lugar a la filtración de información sensible, siendo tres de las cuatro vulnerabilidades importantes en cuanto a su severidad y, la restante, moderada.
El mismo 14 de enero Adobe lanzó la versión 24.0.2 de Illustrator CC 2019 para Windows, así como parches para las versiones 6.3, 6.4 y 6.5 de Adobe Experience Manager.
Cabe señalar que el pasado mes de diciembre Adobe corrigió 25 CVEs que afectaban a múltiples productos de la compañía, entre las cuales se encontraban 17 vulnerabilidades críticas en Acrobat Reader, Phososhop y Brackets, las cuales también podían dar lugar a la ejecución de código remoto.
Desde Adobe se recomienda a los usuarios finales y administradores que instalen las actualizaciones más recientes de seguridad tan pronto como sea posible para proteger sus sistemas de potenciales ciberataques.
Más información
Adobe Releases First 2020 Patch Tuesday Software Updates
Adobe Patches Five Critical Illustrator CC Flaws
Adobe Security Bulletin: Security Updates Available for Adobe Illustrator CC | APSB20-03