El propio equipo de respuesta a incidentes de seguridad de Adobe ha advertido de que Apple ha incluido una versión vulnerable de Flash Player en la última actualización para su sistema operativo. Apple cometió el mismo error en septiembre de 2009.
Apple ha publicado una actualización de seguridad (2010-004) para Mac OS X v10.6.4 que corrige 28 vulnerabilidades. En ella, se incluye una actualización de Flash Player que en realidad, sigue siendo vulnerable. Apple incluye en su mega-parche la versión de Flash Player 10.0.45.2, que a su vez contiene 32 fallos de seguridad que fueron corregidos en la actual versión 10.1.53.64. Esta última fue hecha pública el día 10 de junio y por tanto, se supone que Apple ha tenido tiempo suficiente de incluirla en sus parches de seguridad.
Al menos, parece que en esta ocasión el parche no «desactualiza» al usuario, como ocurrió en septiembre de 2009. En aquella ocasión, se instalaba una versión antigua y vulnerable de Adobe Flash Player incluso si el usuario ya poseía la última. Al actualizar el sistema operativo, quedaba otra vez vulnerable con una versión que contenía fallos de seguridad conocidos.
En cualquier caso, Adobe recomienda que, después de actualizar el Mac OS X, se visite http://www.adobe.com/go/getflashplayer para comprobar que efectivamente se mantiene la última versión (si es que se tenía ya instalada) y si no, reemplazar la vulnerable.
laboratorio@hispasec.com
Más información:
Apple Security Update 2010-004 / Mac OS X v10.6.4 Shipping with Outdated
Version of Adobe Flash Player
http://blogs.adobe.com/psirt/2010/06/apple_security_update_2010-004.html
About the security content of Security Update 2010-004 / Mac OS X v10.6.4
http://support.apple.com/kb/HT4188
La última actualización de Mac OS X contiene una versión de Flash
vulnerable y un rudimentario «antivirus»
http://www.hispasec.com/unaaldia/3967
Deja una respuesta