Adobe emitió múltiples alertas de seguridad para informar a los usuarios acerca de más de 60 vulnerabilidades en varios productos que se ejecutan en equipos Windows y macOS. Según estas alertas, los actores de amenazas podrían explotar estas fallas con diversos fines, incluyendo ataques de ejecución de código, escalada de privilegios y denegación de servicio (DoS).
La compañía también menciona que ya se han abordado tres de estas vulnerabilidades, consideradas críticas y que residen en la popular herramienta Photoshop para Windows y macOS. Un hacker podría explotar estas fallas para ejecutar código arbitrario en el sistema vulnerable.
A continuación se muestran las fallas críticas corregidas, incluyendo sus claves de identificación y puntajes asignados por el Common Vulnerability Scoring System (CVSS):
- CVE-2021-43018: Error de escritura fuera de límites con puntaje CVSS de 7.8/10
- CVE-2021-43020: Acceso a la ubicación de la memoria después del final del búfer. Puntaje CVSS de 5.5/10
- CVE-2021-44184: Error de ejecución de código arbitrario con puntaje CVSS de 7.8/10
La primera de estas fallas fue reportada por Mat Powell en colaboración con The Zero Day Initiative (ZDI), mientras que los reportes restantes fueron presentados por investigadores de Fortinet.
Además de las fallas críticas en Photoshop, Adobe lanzó algunos parches para abordar vulnerabilidades en Experience Manager:
- CVE-2021-43761: Falla de scripts entre sitios (XSS) con puntaje CVSS de 8/10
- CVE-2021-40722: Error crítico de ejecución de código arbitrario con puntaje CVSS de 9.8/10
- CVE-2021-43762: Evasión de las funciones de seguridad con puntaje CVSS de 6.5/10
- CVE-2021-43764: Falla crítica de scripts entre sitios con puntaje CVSS de 8/10
- CVE-2021-43765: Vulnerabilidad de ejecución de código arbitrario con puntaje CVSS de 8/10
Aunque este es un número considerable de vulnerabilidades explotables, la buena noticia es que los equipos de seguridad de Adobe no han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de estas herramientas mantenerse al tanto del lanzamiento de las actualizaciones de seguridad requeridas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
