Actualizaciones de seguridad para productos Adobe

Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Adobe, que permitirían a un atacante realizar ejecución de código arbitrario, escalamiento de privilegios, pérdida de memoria, entre otros. 

Las vulnerabilidades reportadas se componen de 49 (cuarenta y nueve) de severidad “Alta” y 7 (siete) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2023-26405 de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad se debe a una falla de validación de datos de entrada proporcionada por el usuario en productos Adobe. Esto permitiría a un atacante realizar ejecución de código arbitrario en los productos afectados. 

• CVE-2023-26406  de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad se debe a una falla de validación de funciones de seguridad en productos Adobe. Esto permitiría a un atacante realizar omisión de autenticación de seguridad en los productos afectados. 

• CVE-2023-26395 de severidad “Alta”, con puntuación de 7.8. Esta vulnerabilidad del tipo out-of-bounds write se debe a una falla de seguridad en productos Adobe. Esto permitiría a un atacante realizar ejecución de código arbitrario en los productos afectados. 

Se puede acceder al listado completo de las vulnerabilidades aquí. 

Los principales productos afectados son:  

• Acrobat DC (Windows y macOS), versión 23.001.20093 y anteriores. 
• Acrobat Reader DC (Windows y macOS), versión 23.001.20093 y anteriores. 
• Acrobat 2020 (Windows y macOS), versión 20.005.30441 y anteriores. 
• Acrobat Reader 2020 (Windows y macOS), versión 20.005.30441 y anteriores. 

• Adobe InCopy (Windows y macOS), versión 18.1 y anteriores. 
• Adobe InCopy (Windows y macOS), versión 18.1 y anteriores. 
• Adobe InCopy (Windows y macOS), versión 17.4 y anteriores. 

Puede acceder al listado completo de productos afectados en el siguiente enlace. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace: 

• https://helpx.adobe.com/security/security-bulletin.html 
• https://helpx.adobe.com/creative-cloud/help/adobe_application_updater.html  

Referencias:  

• https://www.securityweek.com/adobe-plugs-gaping-security-holes-in-reader-acrobat/ 
• https://helpx.adobe.com/security/products/acrobat/apsb23-24.html 
• https://helpx.adobe.com/security/products/incopy/apsb23-13.html 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26405 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26406 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26395 
• https://helpx.adobe.com/security/security-bulletin.html 
• https://www.cisa.gov/news-events/alerts/2023/04/11/adobe-releases-security-updates-multiple-products