Múltiples vulnerabilidades en Adobe Flash Player 8.x y 9.x

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable.

Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

Los problemas corregidos incluyen errores de validación de entradas que podrían permitir la ejecución de código arbitrario y que podría ser explotado desde un navegador web, un cliente de correo, o cualquier otra aplicación que incluyera o referenciara el reproductor Flash.

Esta actualización incluye funcionalidades para mitigar potenciales problemas que podrían facilitar a un atacante la ejecución de ataques de revinculación DNS (DNS rebinding).

También introduce un método más conservador para la interpretación de políticas de dominios cruzados por Flash Player. Estos cambios ayudarán a prevenir ataques de escalada de privilegios contra servidores web que alojen contenido Flash.

Con esta actualización, el valor por defecto de allowScriptAccess (que se usa cuando no se especifica el parámetro), se cambia de “always” a “sameDomain” para todos los SWFs versión 7 y anteriores. Esto cambia el comportamiento de los SWFs antiguos para asignarles el modelo de seguridad actual y proporcionar mayor seguridad por defecto.

Además, para prevenir la ejecución de scripts en SWFs que no fueron creados para ello por su autor, las APIs que no hayan diseñadas específicamente para la interacción con el navegador no aceptan URLs “javascript:”. Las APIs getURL() y navigateToURL() seguirán aceptando URLs “javascript:”.

Debido a que todos estos cambios y mejoras de seguridad pueden tener un impacto en el contenido Flash existente, Adobe recomienda a todos los desarrolladores la revisión del documento:
http://www.adobe.com/devnet/flashplayer/articles/flash_player9_security_update.html
para determinar si la actualización afecta a su contenido, y comenzar a implementar los cambios necesarios de inmediato para llevar a cabo una transición sin problemas.

Se recomienda actualizar cada navegador en el sistema a través de:
http://www.adobe.com/go/getflash

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3456/comentar

Más información:

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-11.html

Understanding Flash Player 9 April 2008 Security Update compatibility
http://www.adobe.com/devnet/flashplayer/articles/flash_player9_security_update.html

Policy file changes in Flash Player 9
http://www.adobe.com/devnet/flashplayer/articles/fplayer9_security.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: