martes, 20 de octubre de 2015

Adobe publica actualización para solucionar el último 0-day en Flash Player

Adobe ha publicado una actualización para Adobe Flash Player destinada a evitar la vulnerabilidad 0-day que se anunció recientemente. En total se han solucionado tres vulnerabilidades que podrían permitir a un atacante tomar el control de los sistemas afectados.

Hace pocos días describimos como Trend Micro anunciaba la utilización de un nuevo 0-day en Adobe Flash dentro de la campaña de ataques dirigidos Pawn Storm. Esta campaña Pawn Storm dedicada al ciberespionaje lleva ya muchos meses activa. En esta ocasión se empleaba "spear phishing" dirigido a varios Ministerios de Asuntos Exteriores de todo el mundo.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player Desktop Runtime 19.0.0.207 (y anteriores) para Windows y Macintosh; Adobe Flash Player Extended Support Release 18.0.0.252 (y anteriores) y Adobe Flash Player; Adobe Flash Player 19.0.0.207 para navegadores Google Chrome, Microsoft Edge, Internet Explorer 10 y 11; y Adobe Flash Player para Linux 11.2.202.535 (y anteriorers).

Esta actualización, publicada bajo el boletín APSB15-27, resuelve la vulnerabilidad con CVE-2015-7645 correspondiente al 0-day de la campaña Pawn Storm. Además se resuelven las vulnerabilidades con CVE-2015-7647 y CVE-2015-7648. Los tres problemas corregidos se deben a una confusión de tipos que podrían permitir la ejecución de código remoto.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 19.0.0.226
  • Flash Player Extended Support Release 18.0.0.255
  • Flash Player para Linux 11.2.202.540
  • Igualmente se ha publicado la versión 19.0.0.226 de Flash Player para Internet Explorer (10 y 11), Edge y Chrome.

Más información:

Security updates available for Adobe Flash Player

una-al-dia (15/10/2015) Nuevo 0-day en Flash

New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries

una-al-dia (15/07/2015) Nuevo 0day en Java


                                                                                                  
Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada