Adobe parcha una gran cantidad de errores críticos de seguridad en Bridge y Photoshop

Los errores de seguridad podrían abrir la puerta para la ejecución de código arbitrario y el control total de las máquinas objetivo.

Adobe ha lanzado parches de seguridad que abordan cuatro vulnerabilidades críticas en Adobe Bridge, junto con otras actualizaciones críticas e importantes para errores en Adobe Digital Editions, Adobe Photoshop y RoboHelp.

En total, Adobe corrigió 10 agujeros de seguridad en sus productos durante sus actualizaciones programadas de abril, siete de ellos listados como críticos.

Ninguno de los CVE abordados por Adobe figura como conocido públicamente o bajo ataque activo en el momento del lanzamiento.

«Este mes, Adobe tuvo cuatro actualizaciones para Photoshop, Digital Editions, Bridge y Robohelp y todas calificadas como Prioridad 3», dijo a un medio internacional Chris Goettl, director senior de administración de productos y seguridad de Ivanti. “El razonamiento detrás de la priorización de Adobe es porque esta actualización resuelve vulnerabilidades en un producto que históricamente no ha sido un objetivo para los atacantes. Adobe recomienda a los administradores que instalen la actualización a su discreción «.

Goettl señaló que este es un aspecto de las calificaciones de gravedad de los proveedores que muchos no tienen en cuenta: si es menos probable que las aplicaciones sean atacadas por los actores de amenazas, Adobe establece la gravedad de la vulnerabilidad en un nivel más bajo, independientemente de la gravedad de un error. ser. Por lo tanto, la prioridad de parcheo debe determinarse organización por organización.

«Si bien la evidencia histórica refleja con precisión la evaluación de Adobe, no elimina todos los riesgos», señaló. «Photoshop ha tenido hasta nueve CVE explotados a lo largo de los años, el más reciente fue el CVE en 2015. De estas cuatro actualizaciones, Photoshop es la más riesgosa».

Vulnerabilidades de seguridad de Adobe Bridge

Adobe Bridge es un administrador de activos creativos que ayuda a los usuarios a obtener una vista previa, organizar, editar y publicar varios activos creativos de una manera simplificada. Contiene los cuatro errores críticos, así como dos vulnerabilidades «importantes» :

  • CVE-2021-21093 y CVE-2021-21092 son problemas críticos de corrupción de memoria que conducen a la ejecución de código arbitrario;
  • CVE-2021-21094 y CVE-2021-21095 son errores de escritura críticos fuera de los límites que también conducen a la ejecución de código arbitrario;
  • CVE-2021-21091 es un problema de lectura importante fuera de los límites que podría dar lugar a la divulgación de información;
  • Y CVE-2021-21096 proviene de una autorización incorrecta y permite la escalada de privilegios.

“Las vulnerabilidades de ejecución de código arbitrario, o ACE, brindan al adversario una plataforma para ejecutar rápidamente código o aplicaciones adicionales en un sistema de destino, abriendo la puerta al movimiento lateral o la exfiltración rápida de los datos del sistema”, Jay Goodman, gerente de marketing de productos de Automox, dijo por correo electrónico.

Las versiones completamente parchadas / Fuente: Adobe

Otros parches de Adobe para abril

Adobe también abordó dos vulnerabilidades críticas en Photoshop, su popular software de edición de fotografías (CVE-2021-28548 y CVE-2021-28549). Ambos son errores de desbordamiento del búfer que permiten la ejecución de código arbitrario.

Las versiones completamente parchadas / Fuente: Adobe

La compañía también corrigió una vulnerabilidad crítica final en Adobe Digital Editions, CVE-2021-21100, que es un problema de escalada de privilegios que permite una escritura arbitraria del sistema de archivos. Digital Editions es el software de lectura de libros electrónicos de Adobe que se utiliza para adquirir, administrar y leer libros electrónicos, periódicos digitales y otras publicaciones digitales.

La versión completamente parchada / Fuente: Adobe

Y finalmente, Adobe parcheó una vulnerabilidad de calificación importante en RoboHelp, que es una plataforma para la creación de artículos técnicos y procedimientos. El error, registrado como CVE-2021-21070, es un elemento de ruta de búsqueda no controlada que podría permitir la escalada de privilegios.

La versión completamente parchada / Fuente: Adobe