Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

9VSA21-00467-01 CSIRT alerta de vulnerabilidades en productos de Adobe

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a diversos productos de Adobe.

9VSA21-00467-01.png

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a diversos productos de Adobe.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-35981

CVE-2021-35983

CVE-2021-35984

CVE-2021-35985

CVE-2021-35986

CVE-2021-35987

CVE-2021-35988

CVE-2021-35989

CVE-2021-35990

CVE-2021-35991

CVE-2021-35992

CVE-2021-35980

CVE-2021-28624

CVE-2021-28634

CVE-2021-28635

CVE-2021-28636

CVE-2021-28637

CVE-2021-28638

CVE-2021-28639

CVE-2021-28640

CVE-2021-28641

CVE-2021-28642

CVE-2021-28643

CVE-2021-28644

CVE-2021-28591

CVE-2021-28592

CVE-2021-28593

CVE-2021-28595

CVE-2021-28596

Impactos

Adobe considera como vulnerabilidades críticas las siguientes:

CVE-2021-35980 y CVE-2021-28644 afectan a Acrobat Reader y permiten la lectura arbitraria del sistema de archivos.

CVE-2021-28639, CVE-2021-28640 y CVE-2021-28641, son errores de uso de memoria luego de ser liberada que afectan a Acrobat Reader y permiten ejecución arbitraria de código.

CVE-2021-28642 es un error de escritura fuera de los límites de memoria que afecta a Acrobat Reader y permite escritura arbitraria en el sistema de archivos.

CVE-2021-28643 es un error de confusión de tipo de archivo que afecta a Acrobat Reader y permite ejecución arbitraria de código.

CVE-2021-28634 afecta a Acrobat Reader y permite inyección de comandos OS.

CVE-2021-28635, CVE-2021-35981 y CVE-2021-35983 son errores de uso de memoria después de ser liberada en Acrobat Reader que permiten ejecución remota de código.

CVE-2021-28636 afecta a Acrobat Reader y permite ejecución arbitraria de código.

CVE-2021-28637 es un error de lectura fuera de los límites de memoria que afecta a Acrobat Reader y permite fuga de memoria.

CVE-2021-28638 es un error de desborde de buffer en Acrobat Reader que permite ejecución arbitraria de código.

CVE-2021-28595: Afecta a Dimension y posibilita la ejecución arbitraria de código.

CVE-2021-28591 y CVE-2021-28592: Afectan a Illustrator 2021. Son errores de escritura fuera de los límites de la memoria que permiten ejecución arbitraria de código.

CVE-2021-28596: Afecta a Framemaker. Es un error de escritura fuera de los límites de la memoria que permite ejecución arbitraria de código.

CVE-2021-28624, CVE-2021-35989, CVE-2021-35990 y CVE-2021-35991 afectan a Bridge y permiten ejecución arbitraria de código.

Productos Afectados

Adobe Dimension 3.4 y anteriores

Adobe Illustrator 2021 25.2.3 y anteriores.

Adobe Framemaker 2019 Release Update 8 (hotfix) y 2020 Release Update 2.

Adobe Acrobat DC y Reader DC 2021.005.20054 y anteriores.

Adobe Acrobat 2020 y Acrobat Reader 2020 2020.004.30005 y anteriores

Adobe Acrobat 2017 y Acrobat Reader 2017, 2017.011.30197 y anteriores.

Adobe Bridge 11.0.2 y anteriores.

Mitigación

Instalar las respectivas actualizaciones desde el sitio web del proveedor.

Enlaces

https://helpx.adobe.com/security.html

https://helpx.adobe.com/security/products/dimension/apsb21-40.html

https://helpx.adobe.com/security/products/illustrator/apsb21-42.html

https://helpx.adobe.com/security/products/framemaker/apsb21-45.html

https://helpx.adobe.com/security/products/acrobat/apsb21-51.html

https://helpx.adobe.com/security/products/bridge/apsb21-53.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35981

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35983

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35984

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35985

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35986

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35987

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35988

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35989

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35990

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35991

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35992

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35980

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28624

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28634

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28635

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28636

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28637

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28638

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28639

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28640

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28641

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28642

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28643

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28644

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28591

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28592

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28593

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28595

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28596

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00467-01.