Adobe ha confirmado que una vulnerabilidad de día cero que afecta a Adobe Reader para Windows ha sido explotada en la naturaleza en ataques limitados.
Las actualizaciones de seguridad de Adobe para mayo de 2021 abordan al menos 43 CVE en Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat y Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium y Animate. Cinco de los defectos mencionados se notificaron a través del programa ZDI.
Uno de los problemas, rastreado como CVE-2021-28550, es un fallo de corrupción de memoria “use-after-free” que afecta a Adobe Reader para Windows y que ha sido explotado en la naturaleza en ataques limitados.
Adobe no proporcionó detalles técnicos sobre los ataques. De todos modos este problema podría ser explotado por un atacante engañando a las víctimas para que abran un PDF especialmente diseñado.
El gigante del software también abordó 11 vulnerabilidades de seguridad en Adobe Acrobat y Reader para las plataformas Windows y MacOS.
A continuación la lista de vulnerabilidades en Acrobat y Reader:
CATEGORÍA DE VULNERABILIDAD IMPACTO GRAVEDAD NÚMERO CVE
Desbordamiento del búfer Ejecución de código arbitrario Importante CVE-2021-28561
Desbordamiento del búfer basado en Heap Ejecución de código arbitrario Crítico CVE-2021-28560
Desbordamiento del búfer basado en Heap Ejecución de código arbitrario Importante CVE-2021-28558
Lectura fuera de los límites Fuga de memoria Crítico CVE-2021-28557
Lectura fuera de los límites Lectura arbitraria del sistema de archivos Importante CVE-2021-28555
Lectura fuera de los límites Ejecución arbitraria de código Crítico CVE-2021-28565
Escritura fuera de los límites Ejecución arbitraria de código Crítico CVE-2021-28564
Escritura fuera de los límites Ejecución de código arbitrario Crítico CVE-2021-21044CVE-2021-21038CVE-2021-21086
Exposición de información privada Escalada de privilegios Importante CVE-2021-28559
Ejecución de código arbitrario Crítico CVE-2021-28562CVE-2021-28550CVE-2021-28553
La empresa también ha solucionado tres problemas críticos de escritura fuera de los límites en InDesign (CVE-2021-21098, CVE-2021-21099, CVE-2021-21043) que podrían conducir a la ejecución de código arbitrario.
“También destaca la actualización de InDesign. Estos fallos se deben a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una escritura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual”, informó ZDI. “Más allá del fallo de Reader, ninguna de las otras vulnerabilidades parcheadas por Adobe este mes figura como públicamente conocida o bajo ataque activo en el momento de su publicación”.