martes, 27 de enero de 2015

Nueva actualización de Adobe Flash Player

Tal y como había anunciado, Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar la segunda vulnerabilidad 0-day que quedaba por solucionar y que está explotándose en la actualidad. Esta vulnerabilidad puede permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 16.0.0.287 (y anteriores) para Windows, Adobe Flash Player 13.0.0.262 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.438 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSA15-01, resuelve la vulnerabilidad con CVE-2015-0311 que en la actualidad se está empleando en ataques a través de un exploit incluido en un kit de exploits para Flash conocido como Angler (Angler Exploit Kit). Está es una conocida herramienta utilizada para lanzar ataques masivos "drive-by-download", en los que principalmente infecta sistemas de forma transparente (sin intervención del usuario) a través de anuncios maliciosos incluidos sitios web legítimos.

Adobe confirma que los usuarios con la actualización automática activa ya están recibiendo la nueva versión 16.0.0.296 que soluciona el problema. También informa que estará disponible para descarga esta semana. Sin embargo, aunque no ha sido oficialmente anunciada, ya está disponible en el sitio de distribución:

Más información:

Security Advisory for Adobe Flash Player

una-al-dia (22/01/2015) Actualización de Adobe Flash Player para evitar un 0-day

Adobe Flash Player Distribution


Antonio Ropero

Twitter: @aropero

lunes, 26 de enero de 2015

Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Se ha solucionado una vulnerabilidad, con CVE-2015-0231, uso después de liberar memoria en la función "unserialize()" que podría permitir la ejecución de código arbitrario. Otra vulnerabilidad, con CVE-2014-9427, de lectura fuera de límites que podría provocar condiciones de denegación de servicio. Por último, un problema en el tratamiento de imágenes JPEG con una etiqueta EXIF específicamente manipulada, que podría dar lugar a la liberación de un puntero no inicializado y permitir la ejecución de código arbitrario (CVE-2015-0232).

Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.5, 5.5.21 y 5.4.37 desde http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog


Antonio Ropero
Twitter: @aropero