Adobe revela errores críticos de ejecución de código en la actualización de julio

Adobe lanzó sus actualizaciones de seguridad programadas para el mes de julio, que cubren fallas en cinco áreas de diferentes productos: Creative Cloud Desktop; Codificador de medios; Gestor de descargas; Servicio genuino; y ColdFusion.

Cuatro de los errores se clasifican como críticos en severidad, mientras que los otros han sido clasificados como importantes. La mayoría de las fallas implican escalada de privilegios, no obstante los errores críticos pueden considerar el riesgo de ataques más peligrosos.

«Las actualizaciones de Adobe Download Manager y Media Encoder abordan vulnerabilidades críticas (CVE-2020-9688, 9646 y 9650) que podrían haber conducido a la ejecución de código arbitrario», dijo a un medio internacional Justin Knapp, gerente de marketing de productos de
Automox. «La cuarta vulnerabilidad crítica (CVE-2020-9682) afecta a Creative Cloud Desktop y, si se explota, podría permitir que un atacante cree o modifique archivos».

Creative Cloud Desktop

Adobe ha lanzado parches para cuatro fallas diferentes en su aplicación Creative Cloud Desktop para Windows, incluida una falla crítica que permite escrituras arbitrarias del sistema de archivos.

La falla crítica es una vulnerabilidad de enlace simbólico (enlace simbólico) (CVE-2020-9682) que podría permitir a un atacante mediante una explotación exitosa crear o modificar un archivo en una ubicación a la que normalmente no podría acceder. Los enlaces simbólicos son accesos
directos a otros archivos.

Los parches también abordan tres errores de seguridad de clasificación importante, todos los cuales podrían conducir a la escalada de privilegios en el contexto del usuario actual. El error rastreado como CVE-2020-9669 se debe a la falta de mitigaciones de exploits; CVE-2020-9671 es causado por permisos de archivos inseguros; y CVE-2020-9670 es otra vulnerabilidad de enlace simbólico menos grave.

Codificador de medios

Adobe también lanzó una actualización para Adobe Media Encoder para Windows, 14.2 y versiones anteriores. La cual aborda dos errores críticos de escritura fuera de los límites (CVE-2020-9650 y CVE-2020-9646) que podrían conducir a la ejecución de código arbitrario; y una lectura importante fuera del límite (CVE-2020-9649) que podría permitir la divulgación de
información en el contexto del usuario actual.

Gestor de descargas

También entre las correcciones de seguridad hay un parche para una vulnerabilidad crítica que podría conducir a la ejecución de código arbitrario en Adobe Download Manager para Windows. El error (CVE-2020-9688) afecta la versión 2.0.0.518 de la plataforma. El problema permite la
inyección de comandos si se explota, lo que en última instancia podría abrir la puerta a la ejecución de código arbitrario.

Servicio genuino

Mientras tanto, el Servicio original de Adobe para Windows y macOS, que valida periódicamente el software de Adobe ya instalado para eliminar las licencias incorrectas e inválidas, y el software pirateado, tiene tres vulnerabilidades importantes.

Todo esto podría conducir a la escalada de privilegios en el contexto del usuario actual. Incluyen dos errores de carga de la biblioteca inseguros (CVE-2020-9667 y CVE-2020-9681); y uno es el resultado del mal manejo de los enlaces simbólicos (CVE-2020-9668).

Adobe ColdFusion

Y finalmente, Adobe también lanzó parches para múltiples vulnerabilidades importantes en las versiones de ColdFusion 2016 (Actualización 15 y anteriores) y 2018 (Actualización 9 y anteriores).
ColdFusion es la plataforma popular del proveedor para construir e implementar aplicaciones web y móviles.

La actualización del parche de julio es ligera en comparación con la serie habitual de soluciones de seguridad mensuales de Adobe, pero eso puede deberse a que la compañía emitió una actualización fuera de banda para 18 vulnerabilidades críticas a mediados de junio. Estas impactaron una serie de productos clave, incluidos Adobe After Effects, Illustrator, Premiere Pro,
Premiere Rush y Audition. Con exploits exitosos, las fallas hubieran permitido la potencial ejecución de código arbitrario.