viernes, 21 de febrero de 2014

Nuevo ataque 0-day obliga a publicar actualización para Flash

Un nuevo ataque 0-day sale a la luz, en esta ocasión a través de Flash Player. Adobe se ha visto obligado a publicar una actualización para corregir esta vulnerabilidad (junto con otras dos).

El ataque 0-day ha sidoidentificado por FireEye (al igual que el que analizamos ayer a través de Internet Explorer). En esta ocasión la vulnerabilidad (identificada con CVE-2014-0502) afecta a la última versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciones sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org), desde donde a través de un iframe oculto se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit propiamente dicho.

El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 versiones no actualizadas de Microsoft Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobrescribir el puntero "vftable" de un objeto Flash para provocar la ejecución de código arbitrario.

Para corregir esta vulnerabilidad Adobe ha publicado una actualización para Flash Player, que además soluciona otros dos problemas. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.44 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.336 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-07, resuelve la vulnerabilidad detectada por FireEye con CVE-2014-0502, un desbordamiento de búfer que podría permitir la ejecución de código arbitrario (CVE-2014-0498) y una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2014-0499).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.337 para Linux.
Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

Operation GreedyWonk: Multiple Economic and Foreign Policy Sites Compromised, Serving Up Flash Zero-Day Exploit

Documento informativo sobre seguridad de Microsoft (2755801)
Actualización para las vulnerabilidades en Adobe Flash Player en Internet Explorer



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada