Hoy en día se han puesto muy de moda los ataques a páginas u organizaciones de cualquier índole y podemos ver en las noticias, casi diariamente, nuevas vulnerabilidades en aplicaciones, programas o páginas web que hacen que nuestros datos o sistemas estén desprotegidos frente a posibles atacantes, amenazas o softwares malintencionados. Esta vez la cara de la noticia la pone Adobe Systems Incorporated, empresa de software estadounidense conocida por todos, que ha sido protagonista en varios medios digitales que se han hecho eco de la noticia: Adobe se ha visto obligado a publicar una actualización de Flash Player para corregir una nueva vulnerabilidad (junto a otras dos anteriores ya conocidas.)
Este ataque ha sido identificado por FireEye. La vulnerabilidad (CVE-2014-0502) afecta a la ultima versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciónes sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org) desde donde por medio de un iframe oculto, se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit. El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 con versiones no actualizadas de Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobreescribir el puntero “vftable” de un objeto Flash para provocar la ejecución de código arbitrario.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades:
- Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
- Adobe Flash Player 11.2.202.337 para Linux.
También se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.
Más información: