Adobe lanza parches a vulnerabilidades que permiten RCE

21 Febrero 2020
Crítico

La empresa Adobe ha lanzado actualizaciones de seguridad para los aplicativos de After Effects y Media Encoder realizando un parcheado de dos nuevas vulnerabilidades catalogadas como “críticas” debido a problemas de corrupción de memoria de escritura fuera de los límites y que podrían ser explotadas para ejecutar código arbitrario en sistemas específicos, engañando a las víctimas para que abran un archivo especialmente diseñado utilizando el software afectado.

La primera  vulnerabilidad identificada como CVE-2020-3765, involucra al aplicativo de Adobe After Effects y fue descubierta por el investigador de seguridad Matt Powell. La vulnerabilidad permite a un atacante la ejecución de código arbitrario. Para remediar se recomienda actualizar a la versión 17.0.3

La segunda vulnerabilidad identificada como CVE-2020-3764, afecta al aplicativo de Adobe Media Encoder, fue descubierta por el investigador de seguridad canadiense Francis Provencher. La vulnerabilidad permite a un atacante la ejecución de código arbitrario. Para remediar se recomienda actualizar a la versión 14.0.2

Se recomienda lo siguiente:

  • Instalar las actualizaciones entregadas por Adobe:
    • Para After Effects es actualizar a la versión 17.0.3. 
    • Para Media Encoder es la versión 14.0.2.
  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

El listado de las CVE se adjunta a continuación:


Tags: #Adobe #Parche #After Effects #Media Encoder #Vulnerabilidad #RCE #CVE


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.