Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualización de Adobe Flash Player para evitar un 0-day

Actualización de Adobe Flash Player para evitar un 0-day

Por 1 comentario

Adobe ha publicado una actualización para Adobe Flash Player para evitar una nueva vulnerabilidad 0-day que está explotándose en la actualidad y que afecta al popular reproductor. 
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 16.0.0.257 (y anteriores) para Windows, Adobe Flash Player 13.0.0.260 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.429 (y anteriores) para Linux.
Esta actualización, publicada bajo el boletín APSB15-02, resuelve un exploit para la vulnerabilidad CVE-2015-0310 que se está empleando en ataques en la actualidad contra versiones anteriores de Flash Player. El problema reside en una fuga de memoria que puede permitir evitar la protección ASLR (Address Space Layout Randomization) en plataformas Windows. Además confirma que está investigando informes de otro exploit para Flash Player 16.0.0.287 (y anteriores) que igualmente se está empleando actualmente.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 16.0.0.287
  • Flash Player Extended Support Release 13.0.0.262
  • Flash Player para Linux 11.2.202.438

Igualmente se ha publicado la versión 16.0.0.287 de Flash Player para Internet Explorer y Chrome (Windows y Macintosh). Y 16.0.0.291 de Flash Player para Chrome (Linux).

A pesar de esta actualización, el aviso de Adobe indicando la existencia de otro exploit 0-day, hace pensar que dentro de poco la compañía publicará otro parche.
Más información:
Actualizaciones de seguridad disponibles para Adobe Flash Player
http://helpx.adobe.com/security/products/flash-player/apsb15-02.html
Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler rEK
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
Microsoft Security Advisory (2755801)
Update for Vulnerabilities in Adobe Flash Player in Internet Explorer
https://technet.microsoft.com/library/security/2755801
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6987 publicaciones.

Interacciones con los lectores

Comentarios

  1. Antonio Ropero dice

    Adobe confirma que espera tener disponible la actualización para la otra vulnerabilidad llegará la semana que viene.
    La vulnerabilidad aun por corregir tiene asignado el CVE-2015-0311 y puede permitir tomar el control de los sistemas afectados
    Se confirma que se está explotando actualmente a través de ataques «drive-by-download» (el sistema se infecta solo por visitar la página web maliosa), contra sistemas con Internet Explorer o Firefox en Windows 8 (e inferiores).
    http://helpx.adobe.com/security/products/flash-player/apsa15-01.html

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.