Los expertos en pruebas de seguridad informática de Adobe han lanzado múltiples actualizaciones de seguridad para los productos Adobe Illustrator, Bridge y Magento, con lo que será, corregidas múltiples vulnerabilidades, incluyendo algunas que permitirían a los actores de amenazas la ejecución de código remoto.
Las vulnerabilidades de ejecución remota de código se consideran críticas, ya que podrían permitir a un atacante remoto explotar errores en software público para ejecutar comandos en el contexto de seguridad del proceso explotado. Las actualizaciones corrigen un total de diecisiete vulnerabilidades en Adobe Bridge que permiten la divulgación de información y la ejecución de código arbitrario.
De las diecisiete vulnerabilidades corregidas en esta actualización, tres se clasifican como ‘Importantes’ y el resto son consideradas ‘Críticas’, mencionan los especialistas en pruebas de seguridad informática. A continuación se presenta una lista de las vulnerabilidades encontradas y corregidas.
Adobe Bridge
- CVE-2020-9555: Vulnerabilidad crítica de ejecución de código arbitrario de desbordamiento de búfer basado en pila
- CVE-2020-9562: Vulnerabilidad crítica de ejecución de código arbitrario
- CVE-2020-9568: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
- CVE-2020-9553: Vulnerabilidad importante de divulgación de información
- CVE-2020-9554: Vulnerabilidad crítica de escritura fuera de los límites que permite la ejecución arbitraria de código
- CVE-2020-9566: Vulnerabilidad use-after-free crítica que permite la ejecución de código arbitrario
Para corregir estas fallas, los usuarios deben instalar Adobe Bridge v10.0.4.
Adobe Illustrator
Estas actualizaciones corrigen vulnerabilidades que permiten la divulgación de información y la ejecución de código arbitrario.
- CVE-2020-9570: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
- CVE-2020-9571: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
- CVE-2020-9572: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
Acorde a los expertos en pruebas de seguridad informática, los usuarios deben instalar Adobe Illustrator 2020 v24.1.2 para corregir estas fallas.
Adobe Magento
La actualización corrige trece vulnerabilidades en Magento que podrían conducir a la ejecución de código, divulgación de información, entre otras fallas críticas. Algunas de las fallas corregidas en esta actualización son:
- CVE-2020-9576: Esta es una falla de inyección de comandos que permite la ejecución de código arbitrario
- CVE-2020-9577: Scripting almacenado entre sitios que expone información confidencial
- CVE-2020-9578: Vulnerabilidad crítica de inyección de comandos que permite la ejecución de código arbitrario
- CVE-2020-9579: Vulnerabilidad crítica de omisión de mitigaciones de seguridad que permite la ejecución de código arbitrario
- CVE-2020-9582: Vulnerabilidad crítica de inyección de comandos que permite la ejecución de código arbitrario
- CVE-2020-9585: Vulnerabilidad importante de mitigación de seguridad in-depht que permite la ejecución de código arbitrario
Los usuarios deben instalar la más reciente versión de Magento para corregir estas vulnerabilidades.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad