ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10992
Múltiples vulnerabilidades en Adobe Acrobat y Adobe Reader
Actualizado: 07/05/2018
Fecha de detección
?
04/06/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Adobe Acrobat y Adobe Reader. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar código arbitrario y posiblemente causar una denegación de servicio.

A continuación hay una lista completa de vulnerabilidades:

  1. Las vulnerabilidades de uso posterior a la libre en el módulo XML Forms Architecture (XFA) relacionadas con la funcionalidad de formulario de restablecimiento y el elemento choiceList se pueden explotar de forma remota para ejecutar código arbitrario;
  2. La vulnerabilidad de uso después de la liberación al manipular una estructura de datos interna se puede explotar de forma remota para ejecutar código arbitrario;
  3. La vulnerabilidad de uso después de liberación en el motor de XML Forms Architecture (XFA) se puede explotar de forma remota para ejecutar código arbitrario;
  4. La vulnerabilidad de uso después de liberación en la API relacionada con la anotación del motor de JavaScript y en la API de JavaScript conectada con la funcionalidad de colaboración se puede explotar de forma remota para ejecutar código arbitrario;
  5. Las vulnerabilidades de desbordamiento del búfer de pila en la conversión de imágenes que están relacionadas con las compensaciones de análisis, la representación de línea de exploración interna y la manipulación interna de teselas en archivos TIFF pueden explotarse de forma remota para ejecutar código arbitrario;
  6. La vulnerabilidad de desbordamiento del búfer de pila relacionada con el análisis JPEG 2000 de la etiqueta de la lista de fragmentos se puede explotar de forma remota para ejecutar código arbitrario;
  7. Las vulnerabilidades de corrupción de memoria en la funcionalidad de análisis JBIG2, en la funcionalidad del renderizador, en la funcionalidad de mosaico de flujo de código JPEG 2000 pueden explotarse de forma remota para ejecutar código arbitrario;
  8. La vulnerabilidad de corrupción de la memoria que se produce al manejar un archivo PDF mal formado se puede explotar de forma remota para ejecutar código arbitrario;
  9. La vulnerabilidad de corrupción de memoria en el analizador de formato PRC (Product Representation Compact) se puede explotar de forma remota para ejecutar código arbitrario;
  10. La vulnerabilidad de corrupción de la memoria que se produce al manipular las anotaciones en PDF se puede explotar de forma remota para ejecutar código arbitrario;
  11. La vulnerabilidad de corrupción de memoria que está relacionada con la manipulación de representación de objetos internos se puede explotar de forma remota para ejecutar código arbitrario;
  12. Las vulnerabilidades de corrupción de memoria en el módulo de conversión de imágenes relacionadas con el procesamiento de archivos TIFF, el procesamiento del formato de archivo PCX (intercambio de imágenes), el análisis sintáctico de archivos GIF, el análisis de archivos JPEG y la manipulación de archivos EMF se pueden explotar remotamente para ejecutar código arbitrario;
  13. Vulnerabilidades de corrupción de memoria en los módulos: la compresión de imágenes AES, JBIG2 se puede explotar de forma remota para ejecutar código arbitrario;
  14. Las vulnerabilidades de corrupción de memoria en el motor JavaScript y el manejador de seguridad PPKLite se pueden explotar de forma remota para ejecutar código arbitrario;
  15. La vulnerabilidad de corrupción de la memoria que se produce al analizar los datos de la secuencia TFF (formato de fuente TrueType) se puede explotar de forma remota para ejecutar código arbitrario;
  16. La vulnerabilidad de corrupción de la memoria en el complemento MakeAccessible que se produce al analizar datos de fuentes se puede explotar de forma remota para ejecutar código arbitrario;
  17. La vulnerabilidad de corrupción de memoria en el motor JPEG 2000 que está relacionada con la escala de la imagen se puede explotar de forma remota para ejecutar código arbitrario;
  18. La vulnerabilidad de corrupción de memoria en el motor de JavaScript que está relacionada con la manipulación de cadenas se puede explotar de forma remota para ejecutar código arbitrario;
  19. La vulnerabilidad de corrupción de la memoria en la funcionalidad de manipulación de fuentes se puede explotar de forma remota para ejecutar código arbitrario;
  20. La vulnerabilidad de desbordamiento de enteros en el filtro PDF de fax CCITT y en el motor XFA (XML Forms Achitecture) se puede explotar de forma remota para ejecutar código arbitrario;
  21. Varias vulnerabilidades en el módulo weblink, en el motor de análisis JPEG 2000, en el motor XSLT, en el analizador de flujo de código JPEG 2000 pueden explotarse de forma remota para causar pérdida de memoria, lo que podría conducir a la obtención de información confidencial o denegación de servicio;
  22. Un análisis incorrecto de un archivo JPEG 2000, el manejo incorrecto de un flujo de código JPEG 2000 y datos de mosaico de flujo de código se puede explotar de forma remota para causar pérdida de memoria, lo que podría conducir a la obtención de información confidencial o denegación de servicio;
  23. Una vulnerabilidad no especificada en la funcionalidad de colaboración se puede explotar de forma remota para provocar una pérdida de memoria, lo que puede conducir a la obtención de información confidencial o una denegación de servicio;
  24. Varias vulnerabilidades en el analizador JPEG 2000, que están relacionadas con la funcionalidad del cuadro de paleta y el análisis de flujo de código contiguo se pueden explotar de forma remota para causar pérdida de memoria, lo que puede conducir a la obtención de información confidencial o denegación de servicio;
  25. Múltiples vulnerabilidades en la conversión de imágenes relacionadas con el análisis EMF (formato de metadatos mejorado) y el segmento APP13 en el análisis de archivos JPEG se pueden explotar de forma remota para causar pérdida de memoria, lo que puede conducir a la obtención de información confidencial o denegación de servicio;
  26. Las vulnerabilidades de carga de bibliotecas inseguras (secuestro de DLL) en el complemento de OCR y en un archivo DLL que está relacionado con el registro remoto se pueden explotar de forma remota para ejecutar código arbitrario.

NB: esta vulnerabilidad no tiene una calificación pública de CVSS, por lo que la calificación puede cambiarse por el tiempo.

Productos afectados

Adobe Acrobat DC Continuo antes de 2017.009.20044
Adobe Acrobat Reader DC Continuous anterior a 2017.009.20044
Adobe Acrobat DC Classic antes de 2015.006.30306
Adobe Acrobat Reader DC Classic antes de 2015.006.30306
Adobe Acrobat XI anterior a 11.0.20
Adobe Reader XI anterior a 11.0.20

Solución

Actualización a las últimas versiones
Descargar Adobe Acrobat
Descargar Adobe Acrobat Reader DC
Descargar Adobe Reader XI

Notas informativas originales

Adobe security bulletin

Impactos
?
ACE 
[?]

DoS 
[?]
Productos relacionados
Adobe Reader XI
Adobe Acrobat XI
Adobe Acrobat Reader DC Continuous
Adobe Acrobat Reader DC Classic
Adobe Acrobat DC Continuous
Adobe Acrobat DC Classic
CVE-IDS
?

CVE-2017-3057
CVE-2017-3056
CVE-2017-3055
CVE-2017-3054
CVE-2017-3052
CVE-2017-3051
CVE-2017-3050
CVE-2017-3049
CVE-2017-3048
CVE-2017-3046
CVE-2017-3045
CVE-2017-3044
CVE-2017-3043
CVE-2017-3042
CVE-2017-3040
CVE-2017-3039
CVE-2017-3038
CVE-2017-3037
CVE-2017-3036
CVE-2017-3034
CVE-2017-3033
CVE-2017-3032
CVE-2017-3031
CVE-2017-3030
CVE-2017-3028
CVE-2017-3027
CVE-2017-3026
CVE-2017-3025
CVE-2017-3024
CVE-2017-3022
CVE-2017-3021
CVE-2017-3020
CVE-2017-3019
CVE-2017-3018
CVE-2017-3015
CVE-2017-3014
CVE-2017-3013
CVE-2017-3012
CVE-2017-3011
CVE-2017-3065


Enlace al original