Facultad de Ciencias Fisicas y matematicas

Alerta 2013-0093

Actualización crítica de Adobe Flash

Fecha Publicación: 28-02-2013

Sistemas Afectados:

  • Comercial Software
    • Adobe Flash Player 11.6.602.168 y versiones anteriores para sistemas Windows.
    • Adobe Flash Player 11.6.602.167 y versiones anteriores para sistemas Macintosh.
    • Adobe Flash Player 11.2.202.270, y versiones anteriores para sistemas Linux.

Resumen:

Adobe ha publicado un boletín de seguridad con actualizaciones para solucionar varias vulnerabilidades de su producto Flash Player. Las vulnerabilidades son de nivel crítico, y pueden ser aprovechadas para comprometer la máquina. El fabricante ha recibido información de que estas vulnerabilidades están siendo explotadas activamente, con ataques mediante archivos de tipo Flash (.swf) maliciosos alojados en sitios web, y que tienen como objetivo el reproductor Flash para Firefox.

  • CVE-2013-0643: problema con los permisos en el entorno de ejecución protegido (sandbox) por el reproductor Flash en el navegador Firefox.
  • CVE-2013-0648: vulnerabilidad en la funcionalidad ExternalInterface de ActionScript del reproductor Flash cuando se ejecuta dentro del navegador Firefox, que puede ser explotada para ejecutar código malicioso.
  • CVE-2013-0504: vulnerabilidad de desbordamiento de búfer en un servicio intermediario que podría permitir la ejecución de código de forma remota.
  • Descripción:

    Adobe ha publicado un boletín de seguridad con actualizaciones para solucionar varias vulnerabilidades de su producto Flash Player. Las vulnerabilidades son de nivel crítico, y pueden ser aprovechadas para comprometer la máquina.

    El fabricante ha recibido información de que estas vulnerabilidades están siendo explotadas activamente, con ataques mediante archivos de tipo Flash (.swf) maliciosos alojados en sitios web, y que tienen como objetivo el reproductor Flash para Firefox.

  • CVE-2013-0643: problema con los permisos en el entorno de ejecución protegido (sandbox) por el reproductor Flash en el navegador Firefox.

  • CVE-2013-0648: vulnerabilidad en la funcionalidad ExternalInterface de ActionScript del reproductor Flash cuando se ejecuta dentro del navegador Firefox, que puede ser explotada para ejecutar código malicioso.

  • CVE-2013-0504: vulnerabilidad de desbordamiento de búfer en un servicio intermediario que podría permitir la ejecución de código de forma remota.
  • Solución:

    Las versiones más recientes del producto con su configuración por defecto, realizan comprobaciones de actualización de forma automática y periódicamente, instala las nuevas versiones sin necesidad de intervención del usuario. También se puede activar la comprobación manualmente en Panel de Control-> Flash-> Pestaña Avanzado-> Comprobar ahora.La versión de Flash Player instalada con Google Chrome será actualizada automáticamente y no necesita ninguna acción del usuario. Se puede comprobar revisando que la versión de Flash instalada sea la 11.6.602.171 o posterior para Windows, Macintosh y Linux. También se puede comprobar mediante la página de gestión de plugins del navegador (escribir "about:plugins" o "chrome:/ / plugins" en la barra de direcciones).
    La versión de Flash Player instalada con Internet Explorer 10 se actualizará automáticamente con una nueva versión de Internet Explorer 10, que incluirá Adobe Flash Player 11.6.602.171 para Windows.
    Las actualizaciones publicadas pueden descargarse consultando el boletín de Adobe, donde se incluyen las direcciones de descarga directa de las nuevas versiones y las instrucciones de instalación para cada producto.
    Para los usuarios que no puedan actualizar a Flash Player 11, Adobe ha desarrollado una versión corregida de Flash Player 10.x, Flash Player 10.3.183.67, que se puede descargar desde la página del aviso de seguridad (ver Referencias).

    Referencias:

    Aviso de seguridad de Adobe APSB13-08
    http://www.adobe.com/support/security/bulletins/apsb13-08.html

    Aviso de seguridad con actualización para Internet Explorer 10
    http://technet.microsoft.com/en-us/security/advisory/2755801