Actualizaciones de Adobe solventan fallos críticos que afectan a sus aplicaciones de Windows y macOS

Adobe ha lanzado actualizaciones de seguridad para solventar vulnerabilidades críticas que afectan a diez de sus productos Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones de software vulnerables. Los productos de software parcheados hoy por Adobe incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo.

Entre los fallos se destacan:

• APSB20-68, Adobe Creative Cloud Desktop (CVE-2020-24422): Adobe ha publicado una actualización de seguridad para Adobe InDesign que corrige una vulnerabilidad de ruta de búsqueda no controlada (informada por Dhiraj Mishra) en el instalador de la aplicación de escritorio Creative Cloud para Windows que podría provocar la ejecución de código arbitrario.
• APSB20-66 Adobe InDesign (CVE-2020-24421): Adobe ha abordado un error crítico de corrupción de memoria en Adobe InDesign (informado por Kexu Wang de FortiGuard Labs de Fortinet) que puede conducir a la ejecución de código arbitrario en el contexto del usuario actual si se explota con éxito en dispositivos Windows. Se recomienda a los usuarios que instalen Adobe InDesign 16.0 lo antes posible para corregir esta vulnerabilidad.
• APSB20-65, Adobe Media Encoder (CVE-2020-24423): Adobe ha lanzado una actualización de seguridad para Adobe Media Encoder para resolver una vulnerabilidad crítica de ruta de búsqueda no controlada que podría conducir a la ejecución de código arbitrario en el contexto del usuario actual después de una explotación exitosa. Se recomienda a los usuarios de Windows que actualicen inmediatamente a Adobe Media Encoder 14.5 utilizando el mecanismo de actualización de la aplicación de escritorio Creative Cloud para corregir este error crítico.
• APSB20-64, Adobe Premiere Pro (CVE-2020-24424): Adobe ha solucionado un problema de elemento de ruta de búsqueda no controlada en Adobe Premiere Pro 14.4 y versiones anteriores que podrían permitir a los atacantes ejecutar código arbitrario después de una explotación exitosa.
• APSB20-63, Adobe Photoshop (CVE-2020-24420): Adobe corrigió un error de elemento de ruta de búsqueda no controlada en Adobe Photoshop que podría llevar a la ejecución de código arbitrario en el contexto del usuario actual. Los usuarios de Windows y macOS deben actualizar a Photoshop 21.2.3 o Photoshop 2021 22.0 para corregir esta vulnerabilidad de gravedad crítica.
• APSB20-62, Adobe After Effects (CVE-2020-24418 – CVE-2020-24419): Adobe ha publicado actualizaciones de seguridad para Adobe After Effects para Windows y macOS para abordar vulnerabilidades de gravedad crítica que podrían permitir a los atacantes ejecutar código arbitrario en el contexto del usuario actual después de una explotación exitosa. Las vulnerabilidades fueron reportadas por Honggang Ren de FortiGuard Labs de Fortinet y Hou JingYi de Qihoo 360 CERT. Se recomienda a Windows y macOS que actualicen inmediatamente sus instalaciones a Adobe After Effects 17.1.3 a través del mecanismo de actualización de la aplicación de escritorio Creative Cloud.
• APSB20-61, Adobe Animate (CVE-2020-9747 – CVE-2020-9748 – CVE-2020-9749 – CVE-2020-9750): Adobe ha solucionado varios problemas de seguridad en Adobe Animate para Windows y macOS (informados por Kexu Wang de FortiGuard Labs de Fortinet) para abordar errores críticos que podrían conducir a la ejecución de código arbitrario en el contexto del usuario actual después de la explotación. Windows y macOS deberían actualizarse a Adobe Animate 21.0 lo antes posible para corregir estos fallos de seguridad.
• APSB20-60 , Marketo (CVE-2020-24416): Adobe ha corregido una vulnerabilidad almacenada de Cross-site Scripting (XSS) en el paquete Marketo Sales Insight para Salesforce que podría conducir a la ejecución arbitraria de JavaScript en el navegador. Se recomienda a los usuarios que actualicen el paquete de Salesforce de Marketo Sales Insight a la versión 1.4357 para bloquear posibles ataques diseñados para aprovechar este importante fallo.
• APSB20-55, Adobe Dreamweaver: (CVE-2020-24425) Adobe corrigió una vulnerabilidad de elemento de ruta de búsqueda no controlada en Adobe Dreamweaver 20.2 y versiones anteriores que podría conducir a una escalada de privilegios en el contexto del usuario actualmente conectado. Los usuarios de Windows y macOS deben actualizar a Adobe Dreamweaver 21.0 para abordar esta importante vulnerabilidad de gravedad.
• APSB20-53, Adobe Illustrator (CVE-2020-24409 – CVE-2020-24410 – CVE-2020-24411 – CVE-2020-24412, CVE-2020-24413, CVE-2020-24414, CVE-2020-24415): Adobe ha publicado actualizaciones de seguridad para Adobe Illustrator 2020 24.2 y versiones anteriores para abordar vulnerabilidades de gravedad crítica que podrían permitir a los atacantes ejecutar código arbitrario después de una explotación exitosa. Las vulnerabilidades fueron reportadas por Tran Van Khang de VinCSS (miembro de Vingroup) que trabaja con Trend Micro Zero Day y Honggang Ren de FortiGuard Labs de Fortinet. Se insta a Windows y macOS a actualizar inmediatamente sus instalaciones a Illustrator 2020 25.0 a través del mecanismo de actualización de la aplicación de escritorio Creative Cloud.

Referencia:

• https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-security-vulnerabilities-in-acrobat-reader/
• https://helpx.adobe.com/security.html