Con esta actualización, Adobe da solución a 13 vulnerabilidades, la mayoría críticas, en sus productos: Photoshop, Bridge y Prelude 13.

Una semana después del lanzamiento de su actualización mensual de seguridad, el equipo de Adobe optó por realizar un lanzamiento adicional de seguridad para cubrir algunas vulnerabilidades a las que no se les había dado previamente la debida solución.

Cinco de las vulnerabilidades resueltas afectan a Photoshop CC 2019 (hasta la versión 20.0.9) y Photoshop 2020 (hasta la versión 21.2), para la plataforma Windows. Las mencionadas vulnerabilidades podían permitir al atacante ejecutar código arbitrario en el contexto del usuario actual, en caso de tener éxito en su explotación.

Las vulnerabilidades catalogadas como CVE-2020-9683 y CVE-2020-9686, están relacionadas con problemas de lectura out-of-bounds en el software de edición de fotos, mientras que las vulnerabilidades CVE-2020-9684, CVE-2020-9685 y CVE-2020-9687 están relacionadas con fallos de seguridad de escritura out-of-bounds. Todas estas vulnerabilidades son consideradas críticas, ya que en caso de explotarse con éxito, podrían conducir a la ejecución de código arbitrario.

Respecto a los parches de seguridad para Adobe Bridge (hasta la versión 10.1.1) tanto para la plataforma Windows como macOS, se corrige la vulnerabilidad CVE-2020-9675 (relacionada con problemas de lectura out-of-bounds) y dos vulnerabilidades de escritura out-of-bounds (CVE-2020-9674 y CVE-2020 -9676). Estas tres vulnerabilidades también están catalogadas como críticas al ofrecer igualmente al atacante la posibilidad de ejecutar código arbitrario en caso de éxito durante su explotación.

Adobe Prelude (hasta la versión 9.0) también está incluido en la actualización del parche de seguridad de emergencia. En este software de etiquetado de medios, se han detectado cuatro vulnerabilidades críticas: CVE-2020-9677 y CVE-2020-9679 (problemas de lectura out-of-bounds), y CVE-2020-9678 y CVE-2020-9680 (problemas de escritura out-of-bounds); que también se pueden utilizar para ejecutar código arbitrario.

El descubrimiento de estas vulnerabilidades se debe a Mat Powell de Trend Micro Zero Day Initiative (ZDI). En declaraciones a SC Media, ZDI informó que las víctimas podían verse afectadas por estas vulnerabilidades simplemente abriendo un archivo malicioso o visitando un sitio web específicamente diseñado para su explotación.

La última vulnerabilidad resuelta en esta actualización de seguridad es la CVE-2020-9663, que afecta a Adobe Reader Mobile en dispositivos móviles Android, y que está relacionada con un problema de cruce de directorios, que de ser explotada, podría provocar una fuga de información.

Más información:

• «Adobe issues emergency fixes for critical vulnerabilities in Photoshop, Bridge, Prelude» por Charlie Osborne
• Adobe Security Bulletin – Photoshop (APSB20-45)
• Adobe Security Bulletin – Bridge (APSB20-44)
• Adobe Security Bulletin – Prelude (APSB20-46)
• Adobe Security Bulletin- Reader Mobile (APSB20-50)