Inicio / Alerta Temprana / Avisos Seguridad / Actualizaciones de seguridad para Adobe Reader y Acrobat

Actualizaciones de seguridad para Adobe Reader y Acrobat

Fecha de publicación: 
30/06/2010
Importancia: 
5 - Crítica
Recursos afectados: 
  • Adobe Reader 9.3.2 y anteriores versiones en Windows, Macintosh, y UNIX
  • Adobe Acrobat 9.3.2 y anteriores versiones
Descripción: 

Adobe ha publicado varias actualizaciones para sus productos Reader y Acrobat que solucionan diversas vulnerabilidades críticas. Dichas vulnerabilidades incluyen el CVE-2010-1297 descrito en el aviso de seguridad técnico de INTECO el cual puede provocar una caída de la aplicación y el control del sistema por parte de un atacante.

Solución: 

Para actualizar las aplicaciones afectadas se puede hacer uso de la función de actualización automática de las mismas. La configuración por defecto de dichas aplicaciones realizan actualizaciones automáticas de forma regular pero puede activarse manualmente seleccionando Ayuda> Buscar actualizaciones.

Adobe Reader

Adobe Acrobat

Detalle: 

Como se observa a continuación, las vulnerabilidades que solucionan estas actualizaciones permiten la ejecución de código a través de diversos métodos:

  • CVE-2010-1297: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-1240: Ataque mediante ingeniería social que podría dar lugar a la ejecución de código
  • CVE-2010-1285: Vulnerabilidad de puntero no válido que podría dar lugar a la ejecución de código
  • CVE-2010-1295: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2168: Vulnerabilidad de puntero no válido que podría dar lugar a la ejecución de código
  • CVE-2010-2201: Vulnerabilidad de puntero no válido que podría dar lugar a la ejecución de código
  • CVE-2010-2202: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2203: Vulnerabilidad de corrupción de memoria en Unix que podría dar lugar a la ejecución de código
  • CVE-2010-2204: Vulnerabilidad de denegación de servicio; la ejecución de código arbitrario no ha sido demostrado pero podría ser posible
  • CVE-2010-2205: Vulnerabilidad de memoria no inicializada que podría llevar a la ejecución de código
  • CVE-2010-2206: Error en la indexación de arrays podría dar lugar a la ejecución de código arbitrario
  • CVE-2010-2207: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2208: Vulnerabilidad provocada por la referencia nula a un objeto eliminado del montón el cual podría dar lugar a la ejecución de código arbitrario
  • CVE-2010-2209: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2210: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2211: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código
  • CVE-2010-2212: Vulnerabilidad de corrupción de memoria que podría dar lugar a la ejecución de código

La explotación por tanto de las vulnerabilidades descritas anteriormente podrían derivar en la ejecución de código siendo posible en algunos casos la toma de control del equipo por parte de un atacante

En este momento algunas de las vulnerabilidades sólo son candidatas y están publicadas por el MITRE, cuando sean firmes los CVE y se publiquen en el NIST, INTECO las traducirá a castellano y las podrán consultar en nuestra base de datos de vulnerabilidades.