9VSA20-00219-01 CSIRT comparte actualizaciones liberadas por Adobe
CSIRT comparte la información obtenida de Adobe referente a múltiples vulnerabilidades que afectan su lector PDF para Windows y MacOS
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Adobe referente a múltiples vulnerabilidades que afectan su lector PDF para Windows y MacOS. El presente informe incluye la respectiva medida de mitigación.
Lista de CVEs
CVE-2020-9592
CVE-2020-9593,
CVE-2020-9594
CVE-2020-9595
CVE-2020-9596
CVE-2020-9597
CVE-2020-9598
CVE-2020-9599
CVE-2020-9600
CVE-2020-9601
CVE-2020-9602
CVE-2020-9603
CVE-2020-9604
CVE-2020-9605
CVE-2020-9606
CVE-2020-9607
CVE-2020-9608
CVE-2020-9609
CVE-2020-9610
CVE-2020-9611
CVE-2020-9612
CVE-2020-9613
CVE-2020-9614
CVE-2020-9615
Vulnerabilidades
CVE-2020-9592: Impacto crítico.
Evasión de medidas de seguridad implementadas, compromete completamente al sistema afectado.
CVE-2020-9593: Impacto importante.
Acceso de memoria inválida, permite obtención de información potencialmente sensible.
CVE-2020-9594: Impacto crítico.
Escritura fuera de los límites en memoria, permite la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9595: Impacto importante.
Acceso de memoria inválida, permite obtención de información potencialmente sensible.
CVE-2020-9596: Impacto crítico.
Evasión de medidas de seguridad implementadas, compromete completamente al sistema afectado.
CVE-2020-9597: Impacto crítico.
Escritura fuera de los límites en memoria, permite la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9598: Impacto importante.
Acceso de memoria inválida, permite obtención de información sensible.
CVE-2020-9599: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9600: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9601: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9602: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9603: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9604: Impacto crítico.
Error en el buffer. Permite a un atacante la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9605: Impacto crítico.
Error en el buffer. Permite a un atacante la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9606: Impacto crítico.
Uso de la memoria luego de ser liberada. Permite a un atacante la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9607: Impacto crítico.
Uso de la memoria luego de ser liberada. Permite a un atacante la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9608: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9609: Impacto importante.
Lectura fuera los límites de la memoria, permite la obtención de información sensible.
CVE-2020-9610: Impacto importante.
Puntero nulo. Permite a un atacante causar una denegación de servicios en el sistema afectado.
CVE-2020-9611: Impacto importante.
Agotamiento de la pila en memoria. Permite a un atacante causar una denegación de servicios en el sistema afectado.
CVE-2020-9612: Impacto crítico.
Desbordamiento del montículo. Permite a un atacante la ejecución de código arbitrario en el sistema afectado.
CVE-2020-9613: Impacto crítico.
Evasión de medidas de seguridad implementadas, compromete completamente al sistema afectado.
CVE-2020-9614: Impacto crítico.
Evasión de medidas de seguridad implementadas, compromete completamente al sistema afectado.
CVE-2020-9615: Impacto crítico.
Condición de carrera, permite la evasión de medidas de seguridad implementadas.
Productos Afectados
Acrobat DC versión 2020.006.20042 y anteriores.
Acrobat Reader DC versión 2020.006.20042 y anteriores.
Acrobat 2017 versión 2017.011.30166 y anteriores.
Acrobat Reader 2017 versión 2017.011.30166 y anteriores.
Acrobat 2015 2015.006.30518 y anteriores.
Acrobat Reader 2015 versión 2015.006.30518 y anteriores.
Mitigación
Para Acrobat DC, actualizar a la versión 2020.009.20063.
Para Acrobat Reader DC, actualizar a la versión 2020.009.20063.
Para Acrobat 2017, actualizar a la versión 2017.011.30171.
Para Acrobat Reader 2017, actualizar a la versión 2017.011.30171.
Para Acrobat 2015, actualizar a la versión 2015.006.30523.
Para Acrobat Reader, actualizar a la versión 2015.006.30523.
Enlaces
https://helpx.adobe.com/security/products/acrobat/apsb20-24.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9592
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9593
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9594
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9595
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9596
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9597
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9598
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9599
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9600
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9602
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9603
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9604
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9605
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9606
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9607
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9608
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9609
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9610
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9611
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9612
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9613
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9614
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9615
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00219-01