lunes, 14 de mayo de 2012

Nueva versión de Safari bloquea versiones de Flash Player muy antiguas

Apple publicó el pasado 9 de mayo la versión 5.1.7 de Safari para los sistemas Mac OS X y Windows. Además de solucionar diferentes vulnerabilidades, esta versión del navegador introduce una nueva característica: Deshabilita las versiones no actualizadas (anteriores a noviembre 2010) del plugin Adobe Flash Player.

Al instalar en sistemas Mac OSX el nuevo Safari 5.1.7, este reconocerá la versión de Adobe Flash Player que se esté ejecutando y, en caso de ser anterior a la 10.1.102.64, el navegador moverá los ficheros de esta a un directorio diferente. Además, se mostrará una ventana de dialogo informando del problema e instando a la descarga de una versión actualizada de la aplicación desde el sitio web oficial de Adobe. Los usuarios que por alguna razón necesiten mantener esta versión podrán volver a activar a través del panel Internet Plugins.

Sin embargo, hay que señalar que la versión bloqueada, la 10.1.102.64 del plugin Adobe Flash Player data del 4 de noviembre de 2010. Desde entonces han aparecido unas 20 versiones más, la mayoría para solucionar problemas de seguridad. Por tanto, la medida carece de la efectividad que se le podía presuponer en un principio. Se abre una ventana de exposición demasiado amplia para aprovechar otros ataques.

Este es un movimiento parecido al que recientemente ha hecho Firefox, bloqueando las versiones no actualizadas de Java. También se emparenta con la excelente filosofía que tomó Chrome hace tiempo, al gestionar él mismo la actualización de los plugins que acompañan al navegador, y que le ha ofrecido muy buenos resultados en seguridad.

Estas nuevas estrategias de los navegadores atestiguan un giro para atacar el punto débil de los navegadores actuales: sus plugins. En especial los más populares (Java y Flash). Si bien los navegadores implementan medidas de seguridad adicionales que en teoría deberían protegerlos, los exploits se ayudan de la inseguridad de este software para conseguir ataques efectivos y eludirlas. Por tanto, los navegadores están tomando una política en la que intentan liberar al usuario de la gestión de sus plugins, o bien alertarlos de forma más agresiva sobre la inseguridad que supone mantenerlos desactualizados.

Más información:

APPLE-SA-2012-05-09-2 Safari 5.1.7
http://lists.apple.com/archives/security-announce/2012/May/msg00002.html

Firefox deshabilitará Java en Mac OS X no actualizados
http://www.seguridadapple.com/2012/04/firefox-deshabilitara-java-en-mac-os-x.html


Francisco López
flopez@hispasec.com

Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017