martes, 20 de octubre de 2015

Adobe publica actualización para solucionar el último 0-day en Flash Player

Adobe ha publicado una actualización para Adobe Flash Player destinada a evitar la vulnerabilidad 0-day que se anunció recientemente. En total se han solucionado tres vulnerabilidades que podrían permitir a un atacante tomar el control de los sistemas afectados.

Hace pocos días describimos como Trend Micro anunciaba la utilización de un nuevo 0-day en Adobe Flash dentro de la campaña de ataques dirigidos Pawn Storm. Esta campaña Pawn Storm dedicada al ciberespionaje lleva ya muchos meses activa. En esta ocasión se empleaba "spear phishing" dirigido a varios Ministerios de Asuntos Exteriores de todo el mundo.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player Desktop Runtime 19.0.0.207 (y anteriores) para Windows y Macintosh; Adobe Flash Player Extended Support Release 18.0.0.252 (y anteriores) y Adobe Flash Player; Adobe Flash Player 19.0.0.207 para navegadores Google Chrome, Microsoft Edge, Internet Explorer 10 y 11; y Adobe Flash Player para Linux 11.2.202.535 (y anteriorers).

Esta actualización, publicada bajo el boletín APSB15-27, resuelve la vulnerabilidad con CVE-2015-7645 correspondiente al 0-day de la campaña Pawn Storm. Además se resuelven las vulnerabilidades con CVE-2015-7647 y CVE-2015-7648. Los tres problemas corregidos se deben a una confusión de tipos que podrían permitir la ejecución de código remoto.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 19.0.0.226
  • Flash Player Extended Support Release 18.0.0.255
  • Flash Player para Linux 11.2.202.540
  • Igualmente se ha publicado la versión 19.0.0.226 de Flash Player para Internet Explorer (10 y 11), Edge y Chrome.

Más información:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb15-27.html

una-al-dia (15/10/2015) Nuevo 0-day en Flash
http://unaaldia.hispasec.com/2015/10/nuevo-0-day-en-flash.html

New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/

una-al-dia (15/07/2015) Nuevo 0day en Java
http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html


                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

No hay comentarios:

Publicar un comentario