Resueltas múltiples vulnerabilidades en Adobe Macromedia Flash Player

Por marcelo-ar - 13 de Septiembre, 2006, 1:00, Categoría: General

Se han identificado múltiples vulnerabilidades en el reproductor Adobe Macromedia Flash Player, las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad o tomar por completo el control de un sistema afectado.

El primer fallo es debido a errores de validación de entrada al manejar cadenas generadas en forma dinámica demasiado extensas, lo cual podría ser explotado por atacantes remotos para ejecutar comandos arbitrarios mediante una página web maliciosa.

El segundo problema es debido a un error existente en la opción "allowScriptAccess", lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad y llevar a cabo ataques del tipo cross domain scripting.

La tercer vulnerabilidad es debida a un error en la forma en que el control ActiveX es invocado por los productos Microsoft Office, lo cual podría ser explotado por atacantes para ejecutar código arbitrario, sin requerir interacción por parte del usuario, cuando se abre un documento Office malicioso.

Productos afectados:
Adobe Macromedia Flash Player, versiones anteriores a la 9.0.16.0
Adobe Macromedia Flash Player, versiones anteriores a la 8.0.33.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.68.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.66.0
Adobe Macromedia Flex, versiones anteriores a la 7.0.65.0

Solución:
Actualizar a las versiones parcheadas.

Descarga de la versión mas reciente de Flash Player (9.0.16.0):
http://www.adobe.com/go/getflashplayer/
El sitio detecta automáticamente la versión correcta a descargar según el navegador utilizado.

Los usuarios de sistemas operativos que no soportan Flash Player 8 o superior (Microsoft Windows 95, Microsoft Windows NT, etc.) podrán actualizarse a "Flash Player 7r68" desde este enlace:
http://www.adobe.com/go/d9c2fe33

Existe una versión específica para Internet Explorer y otra para los navegadores Firefox y Opera.
Los usuarios de SeaMonkey, K-Meleon, Firefox, u Opera deberán descargar e instalar la versión para Netscape.

Es aconsejable verificar que se utiliza una versión no vulnerable desde este enlace:
http://www.adobe.com/products/flash/about/
o ...
http://www.adobe.com/shockwave/welcome/

En caso de utilizar más de un navegador, realizar la verificación para cada uno de ellos.

Créditos:
Vulnerabilidades reportadas por Stuart Pearson (Computer Terrorism UK Ltd), Dejun Meng y Debasis Mohanty.

Ref.:
http://www.frsirt.com/english/advisories/2006/3573
http://www.adobe.com/support/security/bulletins/apsb06-11.html

El Blog

Calendario

<<   Septiembre 2006  >>
LMMiJVSD
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker