La semana pasada, puntualmente el 14 de enero Adobe publicó actualizaciones de software para corregir un total de 9 vulnerabilidades en dos de sus aplicaciones más usadas: Adobe Experience Manager y Adobe Illustrator.
Cinco de las nueve vulnerabilidades están catalogadas como críticas (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714), y todas ellas afectan a las versiones 24.0 y anteriores de Adobe Illustrator CC. Dichas fallos de seguridad fueron reportados a la compañía por el investigador Honggang Ren, de Laboratorios FortiGuard de Fortinet.
Según Adobe, los cinco fallos críticos en Adobe Illustrator se basan en bugs de corrupción de memoria que podrían permitir a un atacante ejecutar código remoto en los sistemas afectados en el contexto del usuario con el que se haya iniciado sesión. Este tipo de fallos tienen lugar cuando el contenido de la memoria se modifica debido a errores en programación, permitiendo la ejecución de código remoto.
Vulnerabilidades en Adobe Experience Manager
Las otras cuatro vulnerabilidades afectan a Adobe Experience Manager -una aplicación para marketing online y análisis web-, ninguna de las cuales son críticas pero deberían ser parcheadas lo antes posible.
Adobe ha marcado las actualizaciones de seguridad para Adobe Experience Manager con una prioridad de nivel 2, lo que quiere decir que se han visto fallos similares siendo explotados en el pasado, pero hasta el momento, la compañía no ha encontrado evidencia alguna de que las vulnerabilidades aquí reportadas hayan sido explotadas «in the wild».
Algunos de los vectores de ataque mediante los cuales explotar estas vulnerabilidades son:
- Cross-site scripting reflejado (CVE-2019-16466 y CVE-2019-16467). Afecta a las versiones 6.3, 6.4 y 6.5. Este tipo de fallos permite al atacante usar una aplicación web para enviar código malicioso al usuario víctima.
- Inyección en la interfaz del usuario (CVE-2019-16468). Afecta a las versiones 6.3, 6.4 y 6.5.
- Inyección de expresión de lenguaje (CVE-2019-16469). Afecta a la versión 6.5. Este fallo ocurre cuando los datos controlados por el atacante se introducen en un intérprete de expresiones de lenguaje.
Adobe recomienda a usuarios finales y administradores que instalen las actualizaciones más recientes de seguridad tan pronto como sea posible para proteger sus sistemas de potenciales ciberataques.
