9VSA20-00196-01 CSIRT comparte actualizaciones liberadas por Adobe para Adobe Bridge
RESUMEN
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Adobe referente a múltiples vulnerabilidades que afectan a su producto Adobe Bridge. El presente informe incluye la respectiva medida de mitigación.
VULNERABILIDADES
CVE-2020-9553
CVE-2020-9554
CVE-2020-9555
CVE-2020-9556
CVE-2020-9557
CVE-2020-9558
CVE-2020-9559
CVE-2020-9560
CVE-2020-9561
CVE-2020-9562
CVE-2020-9563
CVE-2020-9564
CVE-2020-9565
CVE-2020-9566
CVE-2020-9567
CVE-2020-9568
CVE-2020-9569
CVE-2020-9553
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de lectura fuera de los límites en la memoria, permitiéndole leer contenidos del sistema que de otra forma no serían accesibles.
CVE-2020-9554
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9555
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de desbordamiento de pila y así lograr ejecutar código arbitrario de forma remota en el sistema afectado.
CVE-2020-9556
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9557
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de lectura fuera de los límites en la memoria, permitiéndole leer contenidos del sistema que de otra forma no serían accesibles.
CVE-2020-9558
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de lectura fuera de los límites en la memoria, permitiéndole leer contenidos del sistema que de otra forma no serían accesibles.
CVE-2020-9559
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9560
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9561
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9562
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de desbordamiento de pila y así lograr ejecutar código arbitrario de forma remota en el sistema afectado.
CVE-2020-9563
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error de desbordamiento de pila y así lograr ejecutar código arbitrario de forma remota en el sistema afectado.
CVE-2020-9564
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9565
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites en la memoria, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9566
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de uso de memoria luego de ser liberada, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9567
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de uso de memoria luego de ser liberada, permitiéndole ejecutar código arbitrario en el sistema.
CVE-2020-9568
Debido a un error en memoria, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra y gatillar el error en memoria y así lograr ejecutar código arbitrario de forma remota en el sistema afectado.
CVE-2020-9569
Debido a un error en memoria al procesar datos ingresados no confiables, un atacante podría crear un archivo especialmente diseñado, engañar a la víctima para que lo abra utilizando el software afectado y gatillar el error de escritura fuera de los límites de la memoria, permitiéndole ejecutar código arbitrario en el sistema.
Productos Afectados
Adobe Bridge versiones 10.01 y anteriores para Windows.
MITIGACIÓN
Actualizar a la versión 4.10.14, 4.11.7 ó 4.12.1.
Enlaces
https://helpx.adobe.com/security/products/bridge/apsb20-19.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9553
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9554
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9556
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9557
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9558
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9559
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9560
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9561
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9562
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9564
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9565
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9566
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9567
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9568
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9569
INFORME
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00196-01