Recientemente se ha descubierto una vulnerabilidad en los navegadores Internet Explorer y Opera que pueden permitir el acceso no autorizado a ciertos archivos locales. Este error de los navegadores puede ser explotado por usuarios maliciosos utilizando un problema detectado en el reproductor Flash de la compañía Macromedia.
Dicha compañía ha publicado una versión actualizada del Macromedia Flash Player (versión 7.0.19.0, de 476 KB de peso) que puede descargarse de la siguiente dirección:
http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
Esta nueva versión almacena su información local de tal manera que un usuario malicioso no puede acceder a ella de otra manera que mediante el reproductor de Flash. El problema con las versiones anteriores residía en que el lugar en el que se almacenaban los datos a la hora de reproducir una animación era predecible, lo que podía ser utilizado en combinación con las vulnerabilidades antes nombradas de los navegadores para ejecutar código. El problema principal era, básicamente, que si los datos almacenados por el reproductor Flash en el sistema de archivos locales eran un script, era posible lograr la ejecución de éste a través de los navegadores vulnerables.
La compañía ha calificado esta actualización como importante, por lo que se recomienda la actualización a la mayor brevedad posible (aunque la vulnerabilidad de los navegadores aún no ha sido corregida).
jcanto@hispasec.com
Más información:
MPSB03-08 Update to Flash Player Addressing Local Shared Object Security
http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html
Tres nuevas vulnerabilidades en Internet Explorer
http://www.hispasec.com/unaaldia/1842
Deja una respuesta