Macromedia ha publicado un aviso indicando la existencia de una
vulnerabilidad de seguridad crítica en la versión 6 del reproductor Flash
(que se estima está instalado en el 75% de los ordenadores existentes en
todo el mundo con capacidad de conexión a Internet).
Según las estadísticas publicadas por la propia empresa fabricante,
actualmente existen en el mundo más de 512 millones de ordenadores donde
está instalado el reproductor Flash, en alguna de sus versiones.
El pasado lunes Macromedia anunció la existencia de diversos problemas de
seguridad en las versiones del reproductor Flash anteriores a la 6.0.79.0.
Esta vulnerabilidad afecta a los usuarios de los principales navegadores
web (Internet Explorer, Neoplanet, Netscape, Opera y potencialmente
cualquier otro navegador que disponga de un reproductor Flash). Estos
problemas de seguridad pueden ser aprovechados por un atacante remoto para
forzar la ejecución de código arbitrario o bien acceder al contenido de
los archivos presentes en el ordenador del usuario.
El primer problema es un desbordamiento de búfer que puede ser explotado
a través de un código Flash que en el momento de ser cargado por el
reproductor Flash provoque la ejecución de código arbitrario en el
ordenador del usuario. Este código se ejecutará con los privilegios del
usuario que esté cargando el código (habitualmente, el usuario activo del
sistema).
El segundo problema es la posibilidad de que código Flash especialmente
creado pueda comprometer los mecanismos de integridad de la sandbox del
reproductor Flash. La sandbox es un área restringida para la ejecución del
código Flash de forma que cualquier anomalía en la misma quede contenida
dentro de esa área, sin afectar al resto del sistema. Esta vulnerabilidad
puede ser aprovechada para acceder a los objetos presentes en el ordenador
del usuario.
En ambos casos, Macromedia no ha publicado detalles específicos sobre la
naturaleza de las vulnerabilidades.
Para evitar ambas vulnerabilidades es preciso instalar la versión 6.0.79.0
o posterior del reproductor Flash. Desgraciadamente no existe ninguna
forma fiable de determinar la presencia del reproductor Flash en una
máquina ni la versión del mismo. Por lo tanto, lo único que podemos hacer
es sugerir a todos aquellos usuarios que visiten páginas web con contenido
Flash que procedan a la actualización del reproductor. Para ello, sólo es
necesario visitar esta URL:
http://www.macromedia.com/go/getflashplayer/
xavi@hispasec.com
Deja una respuesta