Adobe ha lanzado un boletín de seguridad con soluciones a múltiples vulnerabilidades en varios productos, en una amplia gama de productos de software destacados y advirtió que los actores malintencionados podrían explotar estos errores para la ejecución de código, escalada de privilegios y ataques de denegación de servicio (DoS).
Adobe llamó la atención especialmente sobre los parches disponibles para su herramienta insignia “Photoshop”, advirtiendo que un trío de problemas de seguridad que afecta a la memoria podría explotarse para la ejecución de código o fugas de memoria que podrían usarse en cadenas de exploits.
Las vulnerabilidades de Photoshop (CVE-2021-43018, CVE-2021-43020 y CVE-2021-44184) tienen una calificación «crítica» y afectan a Photoshop 2021 y Photoshop 2022 en sistemas Windows y macOS. A continuación, se detallan las vulnerabilidades:
- CVE-2021-43018 de severidad alta, con una puntuación de 7.7. Esta vulnerabilidad se debe al incorrecto procesamiento de un input en la interfaz gráfica. Un atacante podría crear un archivo PSD (PhotoShop Document) malicioso que le permitiría realizar ejecución remota de comandos en el sistema afectado.
- CVE-2021-43020 de severidad baja, con una puntuación 3.8. Esta vulnerabilidad se debe a un error de software llamado fuga de memoria, lo que permitiría a un atacante realizar denegación de servicio en el sistema afectado.
- CVE-2021-44184 de severidad alta, con una puntuación de 7.7. Esta vulnerabilidad se debe al incorrecto procesamiento de un input en la interfaz gráfica. Un atacante podría crear un archivo PSD (PhotoShop Document) malicioso para realizar una corrupción de memoria, que le permitiría realizar ejecución de remota de comandos en el sistema afectado.
Un boletín separado, calificado como crítico, advirtió sobre al menos 16 vulnerabilidades en Adobe Premiere Rush. La explotación exitosa podría conducir a la ejecución de código arbitrario, denegación de servicio de la aplicación y escalada de privilegios en el contexto del usuario actual.
La empresa también solucionó varios problemas de ejecución de código en Adobe Experience Manager y un error de escritura del sistema de archivos arbitrario que afectaba a Adobe Connect.
El Patch Tuesday de Adobe también dejó correcciones de seguridad para Adobe Prelude, Adobe After Effects, Adobe Dimension, Adobe Premiere Pro, Adobe Media Encoder, Adobe Lightroom y Adobe Audition.
Se puede acceder al listado completo de las vulnerabilidades resueltas por Adobe aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por Adobe, siguiendo los pasos descritos en la siguiente guía:
Referencias:
- https://helpx.adobe.com/security/products/photoshop/apsb21-113.html
- https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-adobe-products-could-allow-for-arbitrary-code-execution_2021-163/
- https://www.cybersecurity-help.cz/vdb/SB2021121490
- https://helpx.adobe.com/security/products/experience-manager/apsb21-103.html
- https://helpx.adobe.com/security/products/connect/apsb21-112.html
- https://helpx.adobe.com/security/products/prelude/apsb21-114.html
- https://helpx.adobe.com/security/products/after_effects/apsb21-115.html
- https://helpx.adobe.com/security/products/dimension/apsb21-116.html
- https://helpx.adobe.com/security/products/premiere_pro/apsb21-117.html
- https://helpx.adobe.com/security/products/media-encoder/apsb21-118.html
- https://helpx.adobe.com/security/products/lightroom/apsb21-119.html
- https://helpx.adobe.com/security/products/audition/apsb21-121.html