Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

Por Deja un comentario

La fuga de datos del Hacking Team sigue dando que hablar (y seguirá). La semana pasada Adobe publicó una actualización (APSB15-16) para solucionar un 0-day. En los últimos días se han anunciado dos nuevos 0day descubiertos entre la inmensa cantidad de información filtrada, Adobe ya ha confirmado que publicará una nueva actualización para solucionarlos.
Después de publicar una actualización de urgencia (APSA15-03) para solucionar un primer 0day (con CVE-2015-5119) relacionado con el ataque a Hacking Team, y de una segunda actualización (APSB15-16) que además corregía otras 35 vulnerabilidades; Adobe se ha visto obligada a anunciar (en el aviso APSA15-04)  que durante esta semana publicará una nueva actualización para solucionar otros dos nuevos 0days encontrados durante los últimos días.
Como ya anunciamos los “400 gigas de caramelos” iban a aportar un caudal de información que daría mucho que hablar. En este caso los 0day anunciados se identifican con los CVE-2015-5122y CVE-2015-5123. Ambas están relacionadas con vulnerabilidades por uso después de liberar con la función ValueOf, en el primer caso a través de los métodos “TextBlock.createTextLine()” y 
TextBlock.recreateTextLine(textLine)“, mientras que el segundo caso afecta a un objeto “BitmapData“. En ambos casos se han encontrado pruebas de concepto que muestran los efectos de los fallos.
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 18.0.0.204 (y anteriores) para Windows, Macintosh y Linux. Adobe ha confirmado los problemas y confirma que durante esta semana publicará una actualización, considerando que la fuga de datos de Hacking Team está disponible públicamente, el riesgo aumenta para todos los usuarios. Como contramedida se recomienda desactivar Adobe Flash Player hasta que la actualización esté disponible.
Opina sobre esta noticia:
Security Advisory for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb15-16.html
Security Advisory for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
CVE-2015-5122 – Second Adobe Flash Zero-Day in HackingTeam Leak
https://www.fireeye.com/blog/threat-research/2015/07/cve-2015-5122_-_seco.html
Another Zero-Day Vulnerability Arises from Hacking Team Data Leak
http://blog.trendmicro.com/trendlabs-security-intelligence/another-zero-day-vulnerability-arises-from-hacking-team-data-leak/
New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak
http://blog.trendmicro.com/trendlabs-security-intelligence/new-zero-day-vulnerability-cve-2015-5123-in-adobe-flash-emerges-from-hacking-team-leak/
una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos
http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.html
una-al-dia (10/07/2015) Actualización para Adobe Flash Player
http://unaaldia.hispasec.com/2015/07/actualizacion-para-adobe-flash-player.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.