Ejecución de código remoto en el instalador de Macromedia Shockwave

Se ha identificado una vulnerabilidad en el isntalador de Macromedia
Shockwave Player que puede permitir a atacantes remotos tomar control
total de los sistemas afectados.

El fallo anunciado se debe a un desbordamiento de pila en el instalador
ActiveX que no maneja adecuadamente valores muy largos pasados a
ciertos parámetros. Esto puede permitir a atacantes remotos ejecutar
código arbitrario si inducen a usuarios a visitar páginas especialmente
manipuladas que contengan contenido Showkwave y pregunten al
usuario si quiere instalarlo.

Se recomienda instalar el plugin desde la página oficial. Los usuarios
que ya lo tengan instalado no necesitan realizar ninguna acción al
respecto.

Más información:

APSB06-02 Improper Memory Access Vulnerability in Shockwave Player
ActiveX installer
http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html

Adobe Macromedia ShockWave Code Execution
http://www.zerodayinitiative.com/advisories/ZDI-06-002.html

Acerca de Hispasec

Hispasec Ha escrito 6986 publicaciones.

• View all posts by Hispasec →
• Blog