lunes, 13 de julio de 2015

Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

La fuga de datos del Hacking Team sigue dando que hablar (y seguirá). La semana pasada Adobe publicó una actualización (APSB15-16) para solucionar un 0-day. En los últimos días se han anunciado dos nuevos 0day descubiertos entre la inmensa cantidad de información filtrada, Adobe ya ha confirmado que publicará una nueva actualización para solucionarlos.

Después de publicar una actualización de urgencia (APSA15-03) para solucionar un primer 0day (con CVE-2015-5119) relacionado con el ataque a Hacking Team, y de una segunda actualización (APSB15-16) que además corregía otras 35 vulnerabilidades; Adobe se ha visto obligada a anunciar (en el aviso APSA15-04)  que durante esta semana publicará una nueva actualización para solucionar otros dos nuevos 0days encontrados durante los últimos días.

Como ya anunciamos los "400 gigas de caramelos" iban a aportar un caudal de información que daría mucho que hablar. En este caso los 0day anunciados se identifican con los CVE-2015-5122 y CVE-2015-5123. Ambas están relacionadas con vulnerabilidades por uso después de liberar con la función ValueOf, en el primer caso a través de los métodos "TextBlock.createTextLine()" y 
"TextBlock.recreateTextLine(textLine)", mientras que el segundo caso afecta a un objeto "BitmapData". En ambos casos se han encontrado pruebas de concepto que muestran los efectos de los fallos.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 18.0.0.204 (y anteriores) para Windows, Macintosh y Linux. Adobe ha confirmado los problemas y confirma que durante esta semana publicará una actualización, considerando que la fuga de datos de Hacking Team está disponible públicamente, el riesgo aumenta para todos los usuarios. Como contramedida se recomienda desactivar Adobe Flash Player hasta que la actualización esté disponible.

Opina sobre esta noticia:

Security Advisory for Adobe Flash Player

Security updates available for Adobe Flash Player

Security Advisory for Adobe Flash Player

CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak

Another Zero-Day Vulnerability Arises from Hacking Team Data Leak

New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos

una-al-dia (10/07/2015) Actualización para Adobe Flash Player



Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada